gpp泄露
SYSVOL概述
SYSVOL是活動目錄里面的一個用于存儲公共文件服務器副本的共享文件夾,在域中的所有域控制器之間進行復制。SYSVOL文件夾是在安裝活動目錄時自動創建的,主要用來存放登錄腳本,組策略數據以及其他域控所需要的域信息等。整個SYSVOL目錄在所有的域控中是自動同步和分享的,所有組策略存放在c:\windows\SYSVOL\domain\policies\ 目錄之中。
gpp泄露概述
部署GPP,部署的策略給域成員都添加一個用戶:域環境中很多機器都是腳本批量部署的,但是為了保證本地管理員密碼的安全性,通常會修改本地管理員密碼。但是通過組策略統一修改的密碼,雖然強度有所提高,但是所有機器的本地管理員密碼是相同的。這也就是說,攻擊者獲得了一臺機器的本地管理員密碼,就相當于獲得了整個域中的所有機器的本地管理員密碼。
如果是批量部署的密碼:那么域控的SYSVOL共享目錄里有一個xml文件里面可能會存放([name,cpasswords),這個賬號密碼很可能就是域里面所有機器的本地管理員賬號密碼。
快速查找的命令
findstr /s /I cpassword \\IDC-IP\SYSVOL\hiro.com\policies\*.xml
然后通過powersploit中的Get-GPPPassword.ps1腳本進行解密。
(需要以域內任何一臺域用戶權限)
Import-Module .\Get-GPPPassword.ps1;Get-GPPPassword
對于針對組策略首選項提權的防御:
1.安裝KB2962486補丁,使用的方法是不將密碼保存在組策略首選項中
2.設置共享文件夾SYSVOL的訪問權限
3.將包含在組策略密碼的XML文件從SYSVOL文件中刪除
4.建議使用LAPS修改域機器中本地管理員密碼
浙公網安備 33010602011771號