安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-26 23:45:00  来源:本站整理

域渗透——利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)[安全新闻]

赞助商链接



  本文“域渗透——利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

在上篇文章《域渗透——利用GPO中的计划任务实现远程执行》介绍了利用GPO中的计划任务实现远程执行的方法,分析利用思路,通过命令行实现了GPO和计划任务的创建、修改和删除。
这篇文章将要详细介绍命令行实现的原理和脚本的开发细节,记录定位问题和解决问题的过程。
0x01 简介
本文将要介绍以下内容:
· 定位问题
· 解决思路
· 脚本实现细节
0x02 定位问题
· 测试环境:Windows Server 2008 R2
· domain:test.com
测试1:
通过Group Policy Management Console (GPMC) 创建GPO,添加计划任务(Immediate Task)。
成功实现计划任务的远程执行。
测试2:
使用命令行实现创建GPO并添加计划任务(Immediate Task),步骤如下:
1、创建一个GPO
new-gpo -name TestGPO1 | new-gplink -Target "dc=test,dc=com"
GpoId为d7dacd95-883c-402f-9238-9e2643f8f309,如下图:

2、创建计划任务的配置文件ScheduledTasks.xml
路径为:\\test.com\SYSVOL\test.com\Policies\{D7DACD95-883C-402F-9238-9E2643F8F309}\User\Preferences\ScheduledTasks
ScheduledTasks.xml的内容如下:
NT AUTHORITY\System
%LogonDomain%\%LogonUser%
InteractiveToken
HighestAvailable
PT5M
PT1H
false
false
IgnoreNew
false
false
false
true
false
true
true
PT0S
7
PT0S
%LocalTimeXmlEx%
%LocalTimeXmlEx%
true
powershell
-c "123 | Out-File C:\test\debug.txt"
3、通过Group Policy Management Console (GPMC) 查看GPO的配置
如下图:

可以发现,只要创建文件ScheduledTasks.xml,就可以在Group Policy Management Console (GPMC)中的Scheduled Tasks显示添加的计划任务。
但是,此时并不能实现计划任务的远程执行
经过以下操作证明了还缺少计划任务的注册操作:
进入Group Policy Management Console (GPMC)中的Scheduled Tasks。
修改任意一项配置。
选择Apply。
如下图:

再次测试,发现创建的计划任务能够实现远程执行。
结论:
创建计划任务的配置文件ScheduledTasks.xml后,还需要注册操作才能使新添加的Scheduled Tasks生效。
0x03 解决思路
GPO支持的命令如下:
https://docs.microsoft.com/en-us/powershell/module/grouppolicy/?view=win10-ps
目前,我还没有找到关于注册计划任务的方法。
但我有一些猜测:
备份GPO的时候会不会保存注册信息?如果会,那么先备份GPO,向备份文件中添加注册信息,再还原GPO,能否变相实现GPO的注册?
开始接下来的测试:
1、备份GPO
Backup-Gpo -Name TestGPO1 -Path C:\test
如下图:

Id为28f36a77-298c-4b0a-a1c8-62832fd44cde,对应的文件夹为{28f36a77-298c-4b0a-a1c8-62832fd44cde}
文件夹中的内容如下图:

文件夹DomainSysvol中的内容同\\test.com\SYSVOL\test.com\Policies\{D7DACD95-883C-402F-9238-9E2643F8F309}中的内容保持一致。
猜测Backup.xml和gpreport.xml保存有计划任务的注册信息。
分别备份测试1和测试2的GPO,对比文件Backup.xml和gpreport.xml。
2、比较文件
文件存在差异,不同的地方就是计划任务的注册信息。
对于Backup.xml,不同的位置如下图:

标红的部分就是计划任务的注册信息。
对于gpreport.xml,不同的位置如下图:

标签保存注册信息(未注册不存在此标签),内容如下:
   
     
       
         
            1
           
             
               
                  TEST\a
                 
               

[1] [2] [3]  下一页


  以上是“域渗透——利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 域渗透技巧之再谈利用ADIDNS绕过 GQBL
  • 域渗透——利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)
  • 域渗透——利用GPO中的计划任务实现远程执行
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .