内容简介:在上篇文章这篇文章将要详细介绍命令行实现的原理和脚本的开发细节,记录定位问题和解决问题的过程。本文将要介绍以下内容:
0x00 前言
在上篇文章 《域渗透——利用GPO中的计划任务实现远程执行》 介绍了利用GPO中的计划任务实现远程执行的方法,分析利用思路,通过命令行实现了GPO和计划任务的创建、修改和删除。
这篇文章将要详细介绍命令行实现的原理和脚本的开发细节,记录定位问题和解决问题的过程。
0x01 简介
本文将要介绍以下内容:
· 定位问题
· 解决思路
·脚本实现细节
0x02 定位问题
·测试环境:Windows Server 2008 R2
· domain:test.com
测试1:
通过Group Policy Management Console (GPMC) 创建GPO,添加计划任务(Immediate Task)。
成功实现计划任务的远程执行。
测试2:
使用命令行实现创建GPO并添加计划任务(Immediate Task),步骤如下:
1、创建一个GPO
new-gpo -name TestGPO1 | new-gplink -Target "dc=test,dc=com"
GpoId为d7dacd95-883c-402f-9238-9e2643f8f309,如下图:
2、创建计划任务的配置文件ScheduledTasks.xml
路径为:\\test.com\SYSVOL\test.com\Policies\{D7DACD95-883C-402F-9238-9E2643F8F309}\User\Preferences\ScheduledTasks
ScheduledTasks.xml的内容如下:
<ScheduledTasks clsid="{CC63F200-7309-4ba0-B154-A71CD118DBCC}"> <ImmediateTaskV2 clsid="{9756B581-76EC-4169-9AFC-0CA8D43ADB5F}" name="debug" image="0" changed="2018-12-11 11:11:11" uid="{92272F3D-762C-460A-94FA-F3E3B9EBACF0}" userContext="0" removePolicy="0"> <Properties action="C" name="debug" runAs="%LogonDomain%\%LogonUser%" logonType="InteractiveToken"> <Task version="1.2"> <RegistrationInfo> <Author>NT AUTHORITY\System</Author> <Description/> </RegistrationInfo> <Principals> <Principal id="Author"> <UserId>%LogonDomain%\%LogonUser%</UserId> <LogonType>InteractiveToken</LogonType> <RunLevel>HighestAvailable</RunLevel> </Principal> </Principals> <Settings> <IdleSettings> <Duration>PT5M</Duration> <WaitTimeout>PT1H</WaitTimeout> <StopOnIdleEnd>false</StopOnIdleEnd> <RestartOnIdle>false</RestartOnIdle> </IdleSettings> <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries> <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries> <AllowHardTerminate>false</AllowHardTerminate> <StartWhenAvailable>true</StartWhenAvailable> <AllowStartOnDemand>false</AllowStartOnDemand> <Enabled>true</Enabled> <Hidden>true</Hidden> <ExecutionTimeLimit>PT0S</ExecutionTimeLimit> <Priority>7</Priority> <DeleteExpiredTaskAfter>PT0S</DeleteExpiredTaskAfter> </Settings> <Triggers> <TimeTrigger> <StartBoundary>%LocalTimeXmlEx%</StartBoundary> <EndBoundary>%LocalTimeXmlEx%</EndBoundary> <Enabled>true</Enabled> </TimeTrigger> </Triggers> <Actions> <Exec> <Command>powershell</Command> <Arguments>-c "123 | Out-File C:\test\debug.txt"</Arguments> </Exec> </Actions> </Task> </Properties> </ImmediateTaskV2> </ScheduledTasks>
3、通过Group Policy Management Console (GPMC) 查看GPO的配置
如下图:
可以发现,只要创建文件ScheduledTasks.xml,就可以在Group Policy Management Console (GPMC)中的Scheduled Tasks显示添加的计划任务。
但是,此时并不能实现计划任务的远程执行
经过以下操作证明了还缺少计划任务的注册操作:
进入Group Policy Management Console (GPMC)中的Scheduled Tasks。
修改任意一项配置。
选择Apply。
如下图:
再次测试,发现创建的计划任务能够实现远程执行。
结论:
创建计划任务的配置文件ScheduledTasks.xml后,还需要注册操作才能使新添加的Scheduled Tasks生效。
0x03 解决思路
GPO支持的命令如下:
https://docs.microsoft.com/en-us/powershell/module/grouppolicy/?view=win10-ps
目前,我还没有找到关于注册计划任务的方法。
但我有一些猜测:
备份GPO的时候会不会保存注册信息?如果会,那么先备份GPO,向备份文件中添加注册信息,再还原GPO,能否变相实现GPO的注册?
开始接下来的测试:
1、备份GPO
Backup-Gpo -Name TestGPO1 -Path C:\test
如下图:
Id为28f36a77-298c-4b0a-a1c8-62832fd44cde,对应的文件夹为{28f36a77-298c-4b0a-a1c8-62832fd44cde}
文件夹中的内容如下图:
文件夹DomainSysvol中的内容同\\test.com\SYSVOL\test.com\Policies\{D7DACD95-883C-402F-9238-9E2643F8F309}中的内容保持一致。
猜测Backup.xml和gpreport.xml保存有计划任务的注册信息。
分别备份测试1和测试2的GPO,对比文件Backup.xml和gpreport.xml。
2、比较文件
文件存在差异,不同的地方就是计划任务的注册信息。
对于Backup.xml,不同的位置如下图:
标红的部分就是计划任务的注册信息。
对于gpreport.xml,不同的位置如下图:
标签<ExtensionData>保存注册信息(未注册不存在此标签),内容如下:
<ExtensionData> <Extension xmlns:q1="http://www.microsoft.com/GroupPolicy/Settings/ScheduledTasks" xsi:type="q1:ScheduledTasksSettings"> <q1:ScheduledTasks clsid="{CC63F200-7309-4ba0-B154-A71CD118DBCC}"> <q1:ImmediateTaskV2 clsid="{9756B581-76EC-4169-9AFC-0CA8D43ADB5F}" name="debug" image="0" changed="2018-11-11 11:11:11" uid="{C30BC793-8944-4332-97FF-9FDFCAB1191A}" userContext="0" removePolicy="0"> <q1:GPOSettingOrder>1</q1:GPOSettingOrder> <q1:Properties action="C" name="debug" runAs="NT AUTHORITY\System" logonType="InteractiveToken"> <q1:Task version="1.2"> <q1:RegistrationInfo> <q1:Author>TEST\a</q1:Author> <q1:Description /> </q1:RegistrationInfo> <q1:Triggers> <q1:TimeTrigger> <q1:Enabled>true</q1:Enabled> <q1:StartBoundary>%LocalTimeXmlEx%</q1:StartBoundary> <q1:EndBoundary>%LocalTimeXmlEx%</q1:EndBoundary> </q1:TimeTrigger> </q1:Triggers> <q1:Settings> <q1:AllowStartOnDemand>false</q1:AllowStartOnDemand> <q1:DisallowStartIfOnBatteries>false</q1:DisallowStartIfOnBatteries> <q1:StopIfGoingOnBatteries>false</q1:StopIfGoingOnBatteries> <q1:AllowHardTerminate>false</q1:AllowHardTerminate> <q1:StartWhenAvailable>true</q1:StartWhenAvailable> <q1:Enabled>true</q1:Enabled> <q1:Hidden>true</q1:Hidden> <q1:DeleteExpiredTaskAfter>PT0S</q1:DeleteExpiredTaskAfter> <q1:MultipleInstancesPolicy>IgnoreNew</q1:MultipleInstancesPolicy> <q1:Priority>7</q1:Priority> <q1:ExecutionTimeLimit>PT0S</q1:ExecutionTimeLimit> <q1:IdleSettings> <q1:Duration>PT5M</q1:Duration> <q1:WaitTimeout>PT1H</q1:WaitTimeout> <q1:StopOnIdleEnd>false</q1:StopOnIdleEnd> <q1:RestartOnIdle>false</q1:RestartOnIdle> </q1:IdleSettings> </q1:Settings> <q1:Principals> <q1:Principal id="Author"> <q1:UserId>NT AUTHORITY\System</q1:UserId> <q1:LogonType>InteractiveToken</q1:LogonType> <q1:RunLevel>HighestAvailable</q1:RunLevel> </q1:Principal> </q1:Principals> <q1:Actions> <q1:Exec> <q1:Command>powershell</q1:Command> <q1:Arguments>-c "123 | Out-File C:\test\debug.txt"</q1:Arguments> </q1:Exec> </q1:Actions> </q1:Task> </q1:Properties> <q1:Filters /> </q1:ImmediateTaskV2> </q1:ScheduledTasks> </Extension> <Name>Scheduled Tasks</Name> </ExtensionData>
接下来,通过测试来验证猜测。
测试3
1、创建一个GPO
new-gpo -name TestGPO1 | new-gplink -Target "dc=test,dc=com"
2、备份GPO
Backup-Gpo -Name TestGPO1 -Path C:\test
3、修改文件Backup.xml和gpreport.xml
位置:C:\test\{<Id>}\
添加注册信息。
4、创建ScheduledTasks.xml
位置:C:\test\{<Id>}\DomainSysvol\GPO\User\Preferences\ScheduledTasks
5、还原GPO
Import-GPO -Name TestGPO1 -Path C:\test
测试成功,实现计划任务的远程执行。
0x04 脚本实现
流程如下:
1.备份GPO
2.修改文件Backup.xml和gpreport.xml
3.创建ScheduledTasks.xml
4.还原GPO
使用powershell实现,创建ScheduledTasks.xml这部分参考了harmj0y的代码:
我添加了备份GPO,修改文件Backup.xml和gpreport.xml以及还原GPO的功能。
需要注意的细节:
1、备份GPO时的命令行结果
Id对应保存的文件夹名称,GpoId在Backup.xml中会用到。
2、修改文件Backup.xml和gpreport.xml的方法
由于添加的内容较多,所以我没有按照xml的格式进行添加。
我这里多次使用了replace方法。
先定义一个字符串保存注册信息模板,再用replace方法替换对应的属性值。
3、Backup.xml中的<UserExtensionGuids>标签
添加计划任务后,标签的值如下:
<UserExtensionGuids><![CDATA[[{00000000-0000-0000-0000-000000000000}{CAB54552-DEEA-4691-817E-ED4A4D1AFC72}][{AADCED64-746C-4633-A97C-D61349046527}{CAB54552-DEEA-4691-817E-ED4A4D1AFC72}]]]></UserExtensionGuids>
其中的guid均为固定值。
4、ScheduledTasks.xml保存的位置
我的脚本使用的位置为\GPO\User\Preferences\ScheduledTasks
也可以使用另一位置GPO\Machine\Preferences\ScheduledTasks
5、还原Gpo时需要指定Id
这样能避免当前文件夹存在多个备份文件导致还原失败的问题。
6、脚本功能
目前该脚本仅支持添加Immediate Task,参照这个脚本的模板可以支持更多的功能。
0x05 小结
本文详细记录了定位问题和解决问题的过程,介绍了脚本开发的细节,便于读者对脚本做新的改进。
以上所述就是小编给大家介绍的《域渗透——利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 超实用的Tomcat启动脚本实现
- ASP脚本组件实现服务器重启
- 轻松实现Lua脚本控制W5500
- shell脚本实现每秒执行一次任务
- Shell脚本结合Git实现增量项目部署
- python脚本实现Redis未授权批量提权
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
RGB转16进制工具
RGB HEX 互转工具
RGB HSV 转换
RGB HSV 互转工具