LAPS
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Local Administrator Password Solution (LAPS) es una herramienta utilizada para gestionar un sistema donde las contraseñas de administrador, que son únicas, aleatorias y cambiadas con frecuencia, se aplican a computadoras unidas al dominio. Estas contraseñas se almacenan de forma segura dentro de Active Directory y solo son accesibles para los usuarios que han recibido permiso a través de Listas de Control de Acceso (ACLs). La seguridad de las transmisiones de contraseñas desde el cliente al servidor se asegura mediante el uso de Kerberos versión 5 y Estándar de Cifrado Avanzado (AES).
En los objetos de computadora del dominio, la implementación de LAPS resulta en la adición de dos nuevos atributos: ms-mcs-AdmPwd
y ms-mcs-AdmPwdExpirationTime
. Estos atributos almacenan la contraseña de administrador en texto claro y su tiempo de expiración, respectivamente.
Podrías descargar la política LAPS en bruto desde \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
y luego usar Parse-PolFile
del paquete GPRegistryPolicyParser para convertir este archivo en un formato legible por humanos.
Además, los cmdlets nativos de PowerShell de LAPS se pueden usar si están instalados en una máquina a la que tenemos acceso:
PowerView también se puede utilizar para averiguar quién puede leer la contraseña y leerla:
El LAPSToolkit facilita la enumeración de LAPS con varias funciones.
Una es analizar ExtendedRights
para todas las computadoras con LAPS habilitado. Esto mostrará grupos específicamente delegados para leer las contraseñas de LAPS, que a menudo son usuarios en grupos protegidos.
Una cuenta que ha unido una computadora a un dominio recibe All Extended Rights
sobre ese host, y este derecho le da a la cuenta la capacidad de leer contraseñas. La enumeración puede mostrar una cuenta de usuario que puede leer la contraseña de LAPS en un host. Esto puede ayudarnos a dirigirnos a usuarios específicos de AD que pueden leer las contraseñas de LAPS.
Si no hay acceso a un powershell, puedes abusar de este privilegio de forma remota a través de LDAP utilizando
Esto volcará todas las contraseñas que el usuario puede leer, lo que te permitirá obtener un mejor acceso con un usuario diferente.
Una vez que se tiene acceso de administrador, es posible obtener las contraseñas y prevenir que una máquina actualice su contraseña al establecer la fecha de expiración en el futuro.
La contraseña aún se restablecerá si un admin utiliza el Reset-AdmPwdPassword
cmdlet; o si No permitir que el tiempo de expiración de la contraseña sea más largo de lo requerido por la política está habilitado en el GPO de LAPS.
El código fuente original de LAPS se puede encontrar aquí, por lo tanto, es posible poner una puerta trasera en el código (dentro del método Get-AdmPwdPassword
en Main/AdmPwd.PS/Main.cs
, por ejemplo) que de alguna manera exfiltre nuevas contraseñas o las almacene en algún lugar.
Luego, solo compila el nuevo AdmPwd.PS.dll
y súbelo a la máquina en C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
(y cambia la hora de modificación).
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)