Group Policy Security Nightmares pt2
在这第二篇超短文章中,我想探讨一个我最近遇到的不寻常的组策略对象 (GPO) 配置。
这个 GPO 使用文件首选项策略将自定义的HOSTS文件从远程共享复制到本地机器的HOSTS文件:
这引起了我的注意,因为它在主机名解析过程中引入了一个意想不到的元素。
理解主机名解析顺序
众所周知,Windows 中的主机名解析遵循预定义的顺序。通常,它优先考虑HOSTS文件而不是 DNS。这意味着HOSTS文件中的任何条目都将优先于 DNS 查询,有效地覆盖了网络级别的名称解析。
令人难以置信的转折
到目前为止还不错,这种设置在某些环境中可能对主机名标准化有意义(??)。然而,令人难以置信的发现是远程共享上的源HOSTS文件授予了"用户"完全控制权!
这是一个重要的警告信号。这意味着域中的任何经过身份验证的用户都可能修改该文件,引入恶意条目,这些条目将传播到受 GPO 影响的所有机器。
为什么这是个问题?
有了这种访问级别,攻击者可以:
-
重定向流量: 将合法主机名(例如 server.company.local)指向恶意 IP 地址。 -
创造中间人攻击机会: 使用伪造的条目将流量路由通过攻击者控制的机器。 -
破坏服务: 通过将关键资源指向不存在或错误的 IP 地址来破坏连接。
这种配置本质上为广泛滥用打开了大门,利用了HOSTS文件优先于 DNS 的特性。
更进一步思考:还有哪些配置能实现主机名欺骗?
这个发现让我考虑其他可能实现主机名欺骗的场景。以下是一些额外的配置:
-
DnsAdmins 组权限: 特权 DnsAdmins组的成员可以修改 DNS 记录,使他们能够随意重定向流量。 -
配置了不安全更新的区域: 配置了不安全更新的 DNS 区域允许甚至匿名用户进行 DNS 记录更改。令人震惊的是,这种错误配置并不罕见:
在下面的例子中,我们可以看到具有网络级别访问权限的匿名用户可以修改 DNS 记录:
考虑到这些场景,我开始探索如何滥用这些配置,特别是在中间人(MitM)攻击中。这些实验最终促使我开发并发布了自己的工具KrbRelayEx,它展示了 Kerberos 中继和转发如何利用这些漏洞并导致完整的域接管!
如果你对深入了解这个主题感兴趣,欢迎查看我的 GitHub 仓库:https://github.com/decoder-it/KrbRelayEx
就是这些 😉
原文始发于微信公众号(securitainment):组策略安全噩梦 第二部分
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论