事情發生在一個陰雨的早晨, 一打開郵箱就看到有個緊急信件: 有批電腦的Local Admin密碼被Domain Users看光光囉. 請立即處理, 不明白的話就看這裡&這裡 打開PowerShell跑了下面指令, 還真的秀出一堆PW跟Hostname... dsquery * domainroot -filter "(ms-Mcs-AdmPwd=*)" -attr cn ms-Mcs-AdmPwd 關於LAPS全稱為Local Administrator Password Solution, 根據這篇文章所述, 在AD環境下仍然有些時候需要以Local Admin遠端登入電腦(像是helpdesk要解決使用者的疑難雜症). 有碰過偷懶的admin把每一台的Local Admin密碼全部設定一樣(還自以為高超的使用P@55w0rd!). 這方法的問題在於駭客只要攻破一台電腦, 等於所有電腦全部淪陷!所以MS很貼心地推出LAPS給Admin們下載使用, 只是如果使用不當就會出現跟我們家一樣的慘劇. LAPS的運作方式設定好LAPS之後, 每台電腦上的Local Admin密碼就會依照設定好的週期(六個月一次)去自動更新密碼. 如果Operator或Admin需要遠端登入使用者電腦的話, 他們可以去看想要登入電腦的Local Admin密碼. 也就是說, 一旦權限設定出了紕漏, 那就會有不該看到密碼的人看到密碼的事情發生...更多關於LAPS可以參考這篇 說回這次發生的慘劇, 說穿了就是個交代不清的錯誤. 不知道哪位仁兄把extended rights給了Domain Users. 等於所有在AD上的帳號, 無須打開admin權限的powershell console就可以用上面的cmd把所有受LAPS管理的Local Admin密碼看光光(眼神死). 感想資訊安全往往發生在你覺得不會出問題的地方. 使用LAPS來管理密碼, 結果使用不善(初期的設定錯誤, 後續接手的維護問題等等等等等等族繁不及備載)造成更嚴重的資安問題, 真是通往地域的道路往往都是善意造成的. 下面同場加映LAPS相關的偵查手法 and 各種獲得Domain Admin權限的攻擊手法 Microsoft LAPS Security & Active Directory LAPS Configuration ReconOver the years, there have been several methods attempted for managing local Administrator accounts: Scripted password...

>crackmapexec winrm [IP] -u [ID] -p [ID] >crackmapexec smb [IP] -u [ID] -p [ID] >crackmapexec smb [IP] -u [ID] -H [NTLM Hash] Check if the ID/PW works or not. multiple protocol supported. The user has to be in the "Remote Management Group" >evil-winrm -i [IP] -u [USER] -p [Password] >evil-winrm -i [IP] -u [USER] -H [NTLM Hash] Ruby tool for connecting to Windows server by WinRM >evil-winrm -i 10.10.10.161 -u [USER] -p [Hash] PtH by evil.winrm. The advantage of using...