01SCCM介绍
SCCM全名为System Center Configuration Manager,从版本1910开始,微软官方将其从Microsoft System
Center产品移除,重新命名为Microsoft Endpoint Configuration Manager(ConfigMgr),其可帮助 IT
部门管理电脑和服务器,保持软件的最新状态,设置配置和安全策略,并监控系统状态,同时让员工能够访问所选设备上的公司应用程序。
##02SCCM安装
SCCM下载:https://www.microsoft.com/zh-cn/evalcenter/evaluate-microsoft-endpoint-
configuration-manager
SCCM安装先决条件* SQLSERVER2012以上* 必须为域内服务器主机,SQLSERVER服务必须使用域内账户管理(普通域用户)* Windows ADK安装:https://docs.microsoft.com/zh-cn/windows-hardware/getstarted/adk-install#other-adk-downloads* 需修改SQLSERVER实例排序规则为SQL_Latin1_General_CP1_CI_AS,修改方法如下暂停SQLSERVER服务cd C:\Program Files\Microsoft SQL Server\110\Setup Bootstrap\SQLServer2012Setup /QUIET /ACTION=REBUILDDATABASE /instancename=mssqlserver /SQLSYSADMINACCOUNTS=PENTEST\administrator /sapwd= /sqlcollation=SQL_Latin1_General_CP1_CI_AS重启SQLSERVER服务* 15G以上的存储空间* 服务器需要安装Remote Differential Compression服务
##03SCCM攻击利用
对于SCCM攻击利用首先查看目标环境是否存在,可以从目标机器中查看是否存在CcmExec.exe程序和ConfigMgr任务序列代理服务,如果存在即目标机器为SCCM的客户端机器,目标环境存在SCCM管理站点。
通过使用SCCM推送恶意文件