测试情况
Default123 | windows7 平凡域成员windows2008 域控 |
起首安置GPP,这里我安置的策略是给域成员都削减一个test用户,密码为test123
削减一个本地用户
而其时到组策略办理
将domain computers 削减到验证组策略对象
而后到域成员win7这台刻板上执行
1 | gpupdate && net user |
而后可以会晤
Default1 | \\tomato-dc\SYSVOL\tomato.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups |
这个目录下面有个group.xml文件
Default123 | <?xml version="1.0" encoding="utf-8"?><Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="test" image="2" changed="2015-08-14 17:21:15" uid="{149655A8-CC7E-4A49-8A3C-403D1615AF63}"><Properties action="U" newName="" fullName="" description="" cpassword="aUcBkzsNN7W1N3eM/JmKvw" changeLogon="1" noChange="0" neverExpires="0" acctDisabled="0" userName="test"/></User></Groups> |
这外表存储着削减用户的账号密码。其中密码经由AES加密了,可是微软把解密的私钥写在了文档外表导致可以解密密码。
除了这个地方存在账号密码,以下门路大要也存在
123456789 | Services\Services.xml ScheduledTasks\ScheduledTasks.xml Printers\Printers.xml Drives\Drives.xml DataSources\DataSources.xml |
拿到加密密码之后,我们把持脚本解密
大概把持powershell脚本
脚本见附件gpp-exploit.zip
防御
可以间接设置xml的读取权限,从而灌注灌注恶意的读取