『红蓝对抗』Windows 2008 GPP 组策略首选项漏洞

日期：2022-03-27

作者：Corl

介绍：学习一下GPP漏洞的漏洞原理以及利用过程。

0x00 前言

在打红队靶场时，靶场存在 GPP 组策略首选项漏洞，由于之前没有接触过，借助红队靶场环境进行学习。

本篇通过 GPP 组策略首选项漏洞原理、 GPP 首选项介绍、 SYSVOL 介绍、GPP 组策略首选项环境配置以及 GPP 组策略首选项漏洞利用，对 GPP 组策略首选项漏洞进行分析和利用。

0x01 漏洞原理

在域环境中，域管理员为了方便地对所有的机器进行操作，网络管理员往往会使用域策略进行统一的配置和管理。

在配置 GPP 时，相关配置信息会自动保存在 SYSVOL 文件夹下面的 Groups.xml 文件中，然而，只要是在域中已注册的账号或则普通域权限账号，都可以对 SYSVOL目录下的任意文件进行读取。

0x02 GPP首选项介绍

组策略首选项（ Group Policy Preference , GPP ）借助组策略对象（ Group Policy Object , GPO ）实现了对域中所有资源的管理。

常见的组策略首选项( Group Policy Preferences , GPP )列举如下：

•映射驱动器( Drives.xml )

•创建本地用户

•数据源( DataSources.xml )

•打印机配置( Printers.xml )

•创建、更新服务( Services.xml )

•计划任务( ScheduledTasks.xml )

0x03 SYSVOL介绍

SYSVOL 是指存储域公共文件服务器副本的共享文件夹，在域中所有的域控制器之间进行复制。 SYSVOL 文件夹是安装 AD 时创建的，它用来存放登录脚本、组策略数据及其它控制器需要的域信息。

SYSVOL 目录对域内的经过身份认证的用户或者域信任用户进行共享，用户可以读取SYSVOL 目录下的任意文件，所有的域策略存放在 C:WindowsSYSVOLdomainPolicies 目录中。

0x04 GPP 组策略首选项环境配置

操作步骤如下：

（1） 点击开始-所有程序-管理工具-组策略管理。

0x05 GPP 组策略首选项漏洞利用

实验环境：

域机器：10.10.10.18      sqlserver 域控：10.10.10.8         OWA

在域机器上面，使用 dir \10.10.10.8sysvol 命令，可以看到域控共享 sysvol 目录。

使用 dir /s /a \10.10.10.8SYSVOLGroups.xml 命令，查找 SYSVOL目录下存在的 Groups.xml 文件，在搜索结果中可以看到存在一个502字节的 Groups.xml 文件 。

type \10.10.10.8SYSVOLredteam.redPolicies{E238DEDE-BF9F-4D71-BB01-0A407A87E322}MachinePreferencesGroupsGroups.xml

复制 cpassword 字段内容，使用 kali 自带的 gpp-decrypt 工具进行解密，解出密码为 123.com ，正是我们为 Administrator (内置)设置的密码。

0x06 总结

该漏洞只存在于使用 win 2008 作为域控的服务器上，并且在利用时，需要一定的运气成分，如果管理员在配置GPP时使用的密码和域控本身的密码相同时，可以直接使用 Groups.xml 文件中对cpassword字段解密后的密码直接登录域控，如果不同时，也可以使用拿到的密码进行横向喷洒。

免责声明：本文仅供安全研究与讨论之用，严禁用于非法用途，违者后果自负。

宸极实验室隶属山东九州信泰信息科技股份有限公司，致力于网络安全对抗技术研究，是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域，善于利用黑客视角发现和解决网络安全问题。

团队自成立以来，圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动，并积极参加各类网络安全竞赛，屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室，关注公众号，回复『招聘』，获取联系方式。

原文始发于微信公众号（宸极实验室）：『红蓝对抗』Windows 2008 GPP 组策略首选项漏洞