LAPS
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Basic Information
Local Administrator Password Solution (LAPS) - це інструмент, що використовується для управління системою, де паролі адміністратора, які є унікальними, випадковими та часто змінюються, застосовуються до комп'ютерів, приєднаних до домену. Ці паролі зберігаються безпечно в Active Directory і доступні лише користувачам, яким надано дозвіл через списки контролю доступу (ACL). Безпека передачі паролів від клієнта до сервера забезпечується за допомогою Kerberos версії 5 та Стандарту розширеного шифрування (AES).
У комп'ютерних об'єктах домену реалізація LAPS призводить до додавання двох нових атрибутів: ms-mcs-AdmPwd
та ms-mcs-AdmPwdExpirationTime
. Ці атрибути зберігають пароль адміністратора у відкритому вигляді та його час закінчення терміну дії відповідно.
Check if activated
LAPS Password Access
Ви можете завантажити сирий LAPS політику з \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
, а потім використати Parse-PolFile
з пакету GPRegistryPolicyParser, щоб перетворити цей файл у формат, зрозумілий людині.
Більш того, рідні LAPS PowerShell cmdlets можуть бути використані, якщо вони встановлені на машині, до якої ми маємо доступ:
PowerView також можна використовувати, щоб дізнатися хто може прочитати пароль і прочитати його:
LAPSToolkit
LAPSToolkit полегшує перерахунок LAPS за допомогою кількох функцій.
Одна з них - парсинг ExtendedRights
для всіх комп'ютерів з увімкненим LAPS. Це покаже групи, які спеціально делеговані для читання паролів LAPS, які часто є користувачами в захищених групах.
Обліковий запис, який долучив комп'ютер до домену, отримує All Extended Rights
над цим хостом, і це право надає обліковому запису можливість читати паролі. Перерахунок може показати обліковий запис користувача, який може читати пароль LAPS на хості. Це може допомогти нам націлити конкретних користувачів AD, які можуть читати паролі LAPS.
Витягування паролів LAPS за допомогою Crackmapexec
Якщо немає доступу до PowerShell, ви можете зловживати цим привілеєм віддалено через LDAP, використовуючи
Це виведе всі паролі, які користувач може прочитати, що дозволить вам отримати кращу позицію з іншим користувачем.
** Використання пароля LAPS **
LAPS Persistence
Дата закінчення терміну дії
Після отримання прав адміністратора, можливо отримати паролі та запобігти оновленню пароля машини, встановивши дату закінчення терміну дії в майбутньому.
Пароль все ще буде скинуто, якщо адміністратор використовує командлет Reset-AdmPwdPassword
; або якщо в LAPS GPO увімкнено Не дозволяти термін закінчення пароля довше, ніж вимагає політика.
Задня дверцята
Оригінальний вихідний код для LAPS можна знайти тут, тому можливо вставити задню дверцята в код (всередині методу Get-AdmPwdPassword
в Main/AdmPwd.PS/Main.cs
, наприклад), яка якимось чином експортує нові паролі або зберігає їх десь.
Потім просто скомпілюйте новий AdmPwd.PS.dll
і завантажте його на машину в C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
(і змініть час модифікації).
Посилання
Вчіться та практикуйте Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Last updated