免责声明

合法使用原则：文中提及的技术、工具或案例，仅用于授权范围内的安全测试、防御研究或合规技术分享，未经授权的网络攻击、数据窃取等行为均属违法，需承担法律责任。

风险自担与责任豁免：文章内容基于公开信息整理，不保证技术的准确性、完整性或适用性。读者需自行评估技术应用风险，若因不当使用导致任何法律后果或损失，均由使用者自行承担，与本公众号及作者无关。

法律管辖与提示：本公众号坚决拥护相关法律法规，反对任何危害网络安全的行为，读者需严格遵守法律法规。

通过GPO下发组策略批量上线域内机器

一、GPO

• GPO（组策略对象）是Active Directory域中预定义策略规则的集合，域管理员通过将其链接到域、站点或组织单元（OU），强制批量配置域内计算机（如安全策略、软件部署）和用户（如权限限制、脚本执行），所有成员设备会定期自动应用这些策略，实现集中管控
• 由于GPO拥有最高权限执行能力和域级覆盖范围，是横向移动/持久化的“核武器”，拿下域控后，控制GPO在某种层面来说就相当于控制了整个域

二、核心原理

• 攻击者可以利用已获取的域管理员权限（通常在域控上），创建一个新的GPO，该GPO包含一个“即时任务”（Scheduled Task），该任务设置为在目标计算机下次应用组策略时（或特定时间/事件触发）立即执行
• 该任务执行的命令就是让目标机器连接攻击者控制的C2服务器的Payload，从而实现批量上线

三、攻击过程（通过powershell上线CS）

• 通过gpmc.msc打开域控上的组策略管理，给域新建一个GPO

• 右键点击编辑刚刚新建的GPO

• 在组策略管理器中新建一个即时任务

• 设置即时任务的名称

• 给这个即时任务新建一个操作

• 设置程序和脚本为powershell，路径为C:WindowsSystem32WindowsPowerShellv1.0

• 添加参数为CS生成的powshell形式的payload

• 注意：Winserver2016没有确定按钮，按下回车即可
• 配置好以后，默认情况下，域用户的组策略90分钟更新一次，域控制器的组策略5分钟更新一次，等域内用户的组策略更新后，就会上线CS，此时可以使用gpupdate /force命令强制刷新组策略，发现域机器已经上线

原文始发于微信公众号（AegisGuard）：一次性上线域内所有机器