域渗透——Local Administrator Password Solution

最新推荐文章于 2023-12-02 15:23:28 发布
最新推荐文章于 2023-12-02 15:23:28 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: windows 三好大神

域渗透——Local Administrator Password Solution

三好学生 · 2015/11/13 15:18

0x00 前言

在域渗透中,有关域内主机的本地管理员的安全介绍还很少,对于LAPS大都比较陌生,所以这次就和我一起学习一下吧。

这里写图片描述

0x01 简介

在实际的域环境中,域内主机的本地管理员账户往往被忽视,再加上统一的配置,域内主机的本地管理员密码往往相同,这就带来了一个问题,如果获得一台域内主机的本地管理员密码,其他域内主机的本地管理员密码自然就知道了,解决这个问题最好的办法就是确保每台域内主机有不同的密码,并且定期更换。

所以微软在今年3月1号发布了LAPS(Local Administrator Password Solution)协议。

0x02 学习目标

站在渗透的角度,在研究之初设立了以下目标:

>     1、如果域内主机本地管理员账户密码相同,如何利用?
>     2、LAPS是如何配置使用的?
>     3、如果安装了LAPS,有没有利用方法?


对于问题1,如果账户权限配置不当,可以利用pass-the-hash尝试获取其他域内主机权限,mimikatz的操作命令之前有介绍,本文不做重点介绍,暂时忽略。
链接:
http://drops.wooyun.org/tips/7547

0x03 测试环境

域控:server 2008 r2 x64
域内主机: win7 x64

0x04 配置LAPS

1、安装LAPS

域控:

-1)下载LAPS

https://www.microsoft.com/en-us/download/details.aspx?id=46899

-2)安装

选择全部功能

如图

这里写图片描述

域内主机:

下载安装,方法同上

Tips:

域内主机批量安装可使用组策略安装的方法
参考链接如下:
https://4sysops.com/archives/install-32-bit-and-64-bit-applications-with-group-policy-and-sccm/

2、域控LAPS配置

对于这部分可以理解为域的配置以LDAP(Lightweight Directory Access Protocol)协议存储,现在需要添加两个属性来存储LAPS信息:

ms-MCS-AdmPwd:存储密码
ms-MCS-AdmPwdExpirationTime:存储过期时间

我们可以打开C:\Program Files\LAPS\AdmPwd.Utils看到LAPS的安装配置:

如图

这里写图片描述

-1)在域控上执行以下Powershell命令(需要使用域管权限登录)

1
2
3
import -module AdmPwd. PS
Get-Command -Module AdmPwd. PS
Update -AdmPwdADSchema

如图

这里写图片描述

server2008 默认Powershell 版本2.0
执行import-module AdmPwd.PS会出现如下错误:
下载powershell3.0,安装后重启再次执行即可

如图

这里写图片描述

-2)配置活动目录权限

(1)查看可以访问存储密码的用户组:

powershell执行:

1
2
import -module AdmPwd. PS
Find -AdmPwdExtendedRights -OrgUnit "CN=Computers,DC=test,DC=local"

如图

这里写图片描述

(2)取消用户组访问存储密码的权限:

打开ADSIEdit.msc,右键连接,如图

这里写图片描述

这里写图片描述

选择对应的组,右键-属性,如图

这里写图片描述

选择安全-高级,如图

这里写图片描述

选中取消权限的用户-编辑-勾中拒绝所有扩展权限,如图

这里写图片描述

(3)增加用户组读取和重置存储密码的权限:

powershell执行:

1
2
3
import -module AdmPwd. PS
Set -AdmPwdReadPasswordPermission -OrgUnit "CN=Computers,DC=test,DC=local" -AllowedPrincipals test\administrator
Set -AdmPwdResetPasswordPermission -OrgUnit "CN=Computers,DC=test,DC=local" -AllowedPrincipals test\administrator

如图

这里写图片描述

(4)为域内主机添加可以更新密码的权限:

1
2
import -module AdmPwd. PS
Set -AdmPwdComputerSelfPermission -OrgUnit "CN=Computers,DC=test,DC=local"

如图

这里写图片描述

-3)配置LAPS密码组策略

gpedit.msc-管理模板-LAPS,设置对应的密码策略

如图

这里写图片描述

0x05 查看LAPS存储的密码

共有以下三种方法

1、属性编辑器

打开Active Directory 用户和计算机

查看-选中高级功能,如图

这里写图片描述

选中对应计算机-右键-属性-属性编辑器-找到

ms-Mcs-AdmPwd:存储密码
ms-Mcs-AdmPwdExpirationTime:存储过期时间

如图

这里写图片描述

2、LAPS UI

安装LAPS时可以选择安装LAPS UI,启动后输入计算机名,查询,如图

这里写图片描述

3、Powershell

(1)查询某主机

1
2
Import -Module AdmPwd. PS
Get -AdmPwdPassword –ComputerName testf

或者

1
Get -ADComputer testf -Properties ms -Mcs -AdmPwd | select name, ms -Mcs -AdmPwd

如图

这里写图片描述

这里写图片描述

(2)查询所有主机

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
function Get -LAPSPasswords
{
 
     [CmdletBinding()]
     Param(
         [Parameter(Mandatory= $false ,
         HelpMessage= "Credentials to use when connecting to a Domain Controller." )]
         [System.Management.Automation.PSCredential]
         [System.Management.Automation.Credential()] $Credential = [System.Management.Automation.PSCredential]::Empty,
 
         [Parameter(Mandatory= $false ,
         HelpMessage= "Domain controller for Domain and Site that you want to query against." )]
         [string] $DomainController ,
 
         [Parameter(Mandatory= $false ,
         HelpMessage= "Maximum number of Objects to pull from AD, limit is 1,000." )]
         [int] $Limit = 1000,
 
         [Parameter(Mandatory= $false ,
         HelpMessage= "scope of a search as either a base, one-level, or subtree search, default is subtree." )]
         [ValidateSet( "Subtree" , "OneLevel" , "Base" )]
         [string] $SearchScope = "Subtree" ,
 
         [Parameter(Mandatory= $false ,
         HelpMessage= "Distinguished Name Path to limit search to." )]
 
         [string] $SearchDN
     )
     Begin
     {
         if ( $DomainController -and $Credential .GetNetworkCredential().Password)
         {
             $objDomain = New-Object System.DirectoryServices.DirectoryEntry "LDAP://$($DomainController)" , $Credential .UserName, $Credential .GetNetworkCredential().Password
             $objSearcher = New-Object System.DirectoryServices.DirectorySearcher $objDomain
         }
         else
         {
             $objDomain = [ADSI] "" 
             $objSearcher = New-Object System.DirectoryServices.DirectorySearcher $objDomain
         }
     }
 
     Process
     {
         # Status user
         Write -Verbose "[*] Grabbing computer accounts from Active Directory..."
 
         # Create data table for hostnames, and passwords from LDAP
         $TableAdsComputers = New-Object System.Data.DataTable
         $TableAdsComputers .Columns.Add( 'Hostname' ) | Out-Null
         $TableAdsComputers .Columns.Add( 'Stored' ) | Out-Null
         $TableAdsComputers .Columns.Add( 'Readable' ) | Out-Null
         $TableAdsComputers .Columns.Add( 'Password' ) | Out-Null
         $TableAdsComputers .Columns.Add( 'Expiration' ) | Out-Null
 
         # ------------------------------------------------
         # Grab computer account information from Active Directory via LDAP
         # ------------------------------------------------
         $CompFilter = "(&(objectCategory=Computer))"
         $ObjSearcher .PageSize = $Limit
         $ObjSearcher .Filter = $CompFilter
         $ObjSearcher .SearchScope = "Subtree"
 
         if ( $SearchDN )
         {
             $objSearcher .SearchDN = New-Object System.DirectoryServices.DirectoryEntry( "LDAP://$($SearchDN)" )
         }
 
         $ObjSearcher .FindAll() | ForEach-Object {
 
             # Setup fields
             $CurrentHost = $($_.properties[ 'dnshostname' ])
             $CurrentUac = $($_.properties[ 'useraccountcontrol' ])
             $CurrentPassword = $($_.properties[ 'ms-MCS-AdmPwd' ])
             if ($_.properties[ 'ms-MCS-AdmPwdExpirationTime' ] -ge 0){ $CurrentExpiration = $([datetime]::FromFileTime([convert]::ToInt64($_.properties[ 'ms-MCS-AdmPwdExpirationTime' ],10)))}
             else{ $CurrentExpiration = "NA" }
 
             $PasswordAvailable = 0
             $PasswordStored = 1
 
             $CurrentUacBin = [convert]::ToString( $CurrentUac ,2)
 
             # Check the 2nd to last value to determine if its disabled
             $DisableOffset = $CurrentUacBin .Length - 2
             $CurrentDisabled = $CurrentUacBin .Substring( $DisableOffset ,1)
 
             # Set flag if stored password is not available
             if ( $CurrentExpiration -eq "NA" ){ $PasswordStored = 0}
 
 
             if ( $CurrentPassword .length -ge 1){ $PasswordAvailable = 1}
 
 
             # Add computer to list if it's enabled
             if ( $CurrentDisabled  -eq 0){
                 # Add domain computer to data table
                 $TableAdsComputers .Rows.Add( $CurrentHost , $PasswordStored , $PasswordAvailable , $CurrentPassword , $CurrentExpiration ) | Out-Null
             }
 
             # Display results
             $TableAdsComputers | Sort-Object {$_.Hostname} -Descending
          }
     }
     End
     {
     }
}
Get -LAPSPasswords -DomainController 192.168.40.132 -Credential test.local\Administrator | Format-Table -AutoSize

如图

这里写图片描述

注:

如果配置不当,我们可以在域内一台普通主机,查看域内其他主机本地管理员账号

如图

这里写图片描述

这里写图片描述

0x06 防御

1、如果未使用LAPS

一定要留意域内主机的本地管理员账号

对于域内本地管理员尝试pass-the-hash虽未做详细介绍,但如果满足条件,操作简单、威力无穷

2、使用LAPS

(1)注意用户权限配置是否存在问题,是否普通用户可以读取域内其他主机的本地管理员密码
(2)为了便于管理域内主机本地管理员账号,一般大规模的域都会使用LAPS
这种情况下在安装程序列表里面会出现Local Administrator Password Solution
(3)如果域控被入侵过,记得更新所有LAPS配置

0x07 小结

在域渗透中,对域内主机的本地管理员的尝试利用,往往会有出其不意的效果。 我们知道,LAPS是在LDAP中存储,那么LDAP在域渗透中有多大作用呢?值得研究。

参考资料:

本文由三好学生原创并首发于乌云drops,转载请注明

citelao
关注
专栏目录
(LAPS) Windows本地管理员密码解决方案
IT 博客
10-05 447
Windows Local Administrator Password Solution (LAPS)Windows本地管理员密码解决方案
【vSphere 8 自签名证书】企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅰ—— 生成 CSR
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
10-18 1785
本篇博文主要描述了如何在 vCenter Server 系统中使用实用工具 certificate-manager 生成自签名证书需要的证书签名请求 CSR。适用的 vSphere 版本为 vSphere 7.0.x 和 vSphere 8.0.x
LAPS-WebUI:一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案)
05-14
LAPS-WebUI 一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案) 设置前提 安装了Microsoft LAPS的有效Active Directory .NET Core 5.0兼容操作系统(Ubuntu / Debian / CentOS / Alpine Linux / Windows / macOS)或Docker主机 设置(裸机): 下载适合您平台的最新版本 解压缩档案 调整appsettings.json或通过环境变量设置设置 运行LAPS-WebUI 设置(泊坞窗): 在docker中运行LAPS-WebUI非常简单: docker run -d \ --name=lapswebui \ -e LDAP__Server=ldap.example.com \ -e LDAP__Port=389 \ -e LDAP__UseSSL=fa
本地管理员密码解决方案 Local Admin Password Solution (LAPS)
weixin_33748818的博客
10-20 5234
据调查,大多数的企业在部署AD后,针对客户端电脑的本机管理员采用以下几种方式管理方式:1. 禁用本机管理员,只使用账登录;但存在的问题是:当电脑因故障脱离,或是无法使用账号登录时,电脑就无法登录,需要借助PE等工具启用本机管理员并设置密码。2. 由IT人员在系统部署时设置一个统一的本机管理员密码(或是用GPO统一设置);但存在的问题是:如果密码一旦泄露或是被猜出,***、病毒将能取得电脑控...
【Windows】Windows LAPS:本地管理员密码解决方案
u012153104的博客
05-06 2302
微软已经在2023年4月的安全更新中,为Windows 10(20H2、21H2、22H2)、Windows 11(21H2、22H2)、Windows Server 2019和Windows Server 2022提供了称为Windows LAPS的新功能。Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的设备。
内计算机本地管理员密码管理
weixin_42556618的博客
12-17 3901
随着互联网技术的不断发现,信息安全在企业中的受重视度也越来越高,终端管理是信息安全中至关重要的一环,不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平,因此在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为至关重要。其中做好权限的管理是重中之重,而企业内终端的密码管理则是权限管理的基础。 在小型企业中,PC客户端直接使用客户端,这种方式终端上需要管理的密码只有工...
Windows AD 环镜 本地管理员密码解决方案(LAPS)部署
一直被模仿,从未被超越
05-08 3072
这个功能实现的是让加的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免***者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。LAPS允许您在加入的情况下管理本地管理员密码(随机,唯一且定期更改)电脑。(5)进入到 计算机配置>策略>软件设置>软件安装,为客户端安装LAPS,安装包就是上面下载的。1、在控上安装LAPS.x64,点击下一步安装,第一项不用安装。
【vSphere 8 自签名 VMCA 证书】企业 CA 签名证书替换 vSphere VMCA CA 证书Ⅲ—— 颁发自签名与替换 VMCA 证书
最新发布
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
12-02 1459
博文主要描述了如何在 Windows Server 2019 中使用 Microsoft 证书颁发机构颁发适用于 vSphere 7.x 和 8.x 版本的自签名 VMCA 证书以及在 vCenter Server 8 上通过实用工具 certificate-manager 将 vSphere 默认VMCA CA 证书替换为 企业 CA 自签名证书。适用的 vSphere 版本为 vSphere 7.0.x 和 vSphere 8.0.x。
【vSphere 8 自签名证书】企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅳ—— 替换默认证书
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
10-23 1062
博文主要描述了在 vCenter Server 8 上通过实用工具 certificate-manager 将 vSphere 默认 Machine SSL 证书替换为 企业 CA 自签名证书。适用的 vSphere 版本为 vSphere 7.0.x 和 vSphere 8.0.x
bat 本机管理员密码_渗透——Local Administrator Password Solution
weixin_39645041的博客
11-23 559
0x00 前言在渗透中,有关内主机的本地管理员的安全介绍还很少,对于LAPS大都比较陌生,所以这次就和我一起学习一下吧。0x01 简介在实际的环境中,内主机的本地管理员账户往往被忽视,再加上统一的配置,内主机的本地管理员密码往往相同,这就带来了一个问题,如果获得一台内主机的本地管理员密码,其他内主机的本地管理员密码自然就知道了,解决这个问题最好的办法就是确保每台内主机有不同的密码,...
使用组策略统一修改客户端本地管理员密码
weixin_33895475的博客
06-13 482
有关如何创建启动脚本您可以参考下面的链接:http://www.microsoft.com/technet/archive/community/columns/tips/2kscript.mspx?mfr=true 具体的操作方法如下:1. 点击“开始->运行”并输入“DSA.MSC”?->打开Active Directory用户和计算机2. 然后右键点击doma...
使用LAPS管理本地管理员密码(1)
weixin_34167043的博客
12-24 1286
在日常工作中会碰到一些客户端本地管理员密码管理不方便的情况,不能批量\方便的进行客户端管理员密码的设定,或者是统一设定密码后一旦密码泄露将会影响所有的客户端等一系列的问题.微软推出了Local Administrator Password Solution (LAPS)就能够很好的解决这个问题.测试环境: 控:Windows Server 2012R2新建OU:Clien...
使用 LAPS WebUI 从 Active Directory 检索本地管理员密码
allway2的博客
05-16 863
作为安全说明,LAPS WebUI 的 Docker 实现不会在 Web 浏览器中配置 HTTPS 的连接。因此,您需要在解决方案前面放置一个反向代理,例如 Traefik,以确保您的浏览器流量已加密,或者您的密码将以明文形式发送。您需要使用具有查看 LAPS 控制的工作站所在的 OU 对象的扩展属性的 Active Directory 用户登录。安装 LAPS UI 后,可以查询特定工作站以查看当前 LAPS 控制的密码。登录后,您可以搜索 LAPS 控制的工作站并查看密码。
远程调用Exchange的power shell进行管理
qq_22013315的博客
11-08 1934
先远程登陆exchange服务器的Windows Power sehll命令如下 Enter-PSSession -ComputerName 172.17.224.207 -Credential test\admin 然后再登陆成功的shell上执行一下命令进入到exchange Manage Shell中命令如下 $credential = Get-Credential;$session
如何搭建LAPS?如何统一给的电脑设置本地管理员密码?比组策略推送脚本更改本地管理员密码更好的方式?LAPS的好处特点?
封枫丰
07-28 1546
1,如何搭建LAPS? 2.如何统一给的电脑设置本地管理员密码? 3,比组策略推送脚本更改本地管理员密码更好的方式? 4.LAPS的好处特点?
LAPS本地管理员密码之使用PowerShell查看和重置密码
一个标题
12-26 2396
LAPS本地管理员密码之使用PowerShell查看和重置密码
部署Microsoft LAPS分步指南
allway2的博客
01-13 6207
部署Microsoft LAPS分步指南 在本文档中,我将向您逐步介绍部署Microsoft LAPS的方法。本地管理员密码解决方案(LAPS)提供对加入的计算机的本地帐户密码的管理。实施LAPS后,密码将存储在Active Directory(AD)中并受ACL保护,因此只有合格的用户才能读取或请求重置。对于要求用户在没有凭据的情况下登录计算机的环境,密码管理可能会成为一个复杂的问题。本地...
local-aaa-user password policy administrator
06-13
其中,"local-aaa-user"表示配置本地AAA用户,"password policy"表示指定密码策略,"administrator"表示指定的本地AAA用户的用户名。通过该命令,您可以为本地AAA用户指定密码复杂度、密码有效期、密码历史记录等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值