- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
域安全篇:寻找SYSVOL里的密码和攻击GPP
SYSVOL 解决办法之一是为认证数据采取SYSVOL,SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。 SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为SYSVOL能在所有域控里进行自动同步和共享。 所有的域组策略存储在: \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ SYSVOL里的认证 在windows电脑中,管理需要花心思去保证本地Administrator账户(RID 因为认证用户(所有域用户或者信任域里的用户)对SYSVOL拥有读权限。在域里的任何用户可以搜索SYSVOL共享中的带有cpassword字样的XML文件,里面包含了AES加密的密码。 注意,现在的GPP文件还没有从SYSVOL里移除。 GPP利用检查 XML权限拒绝检查: 把新的xml文件放到SYSVOL里,设置拒绝Everyone。
2.5K70发布于 2018-02-07 - 来自专栏红队蓝军
浅谈域渗透中的组策略及gpp运用
SYSVOL 解决办法之一是为认证数据采取SYSVOL,SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。 SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为SYSVOL能在所有域控里进行自动同步和共享。 所有的域组策略存储在:\\<DOMAIN>\\SYSVOL\\\<DOMAIN>\\Policies\\ SYSVOL里的认证 在windows电脑中,管理需要花心思去保证本地Administrator 因为认证用户(所有域用户或者信任域里的用户)对SYSVOL拥有读权限。在域里的任何用户可以搜索SYSVOL共享中的带有cpassword字样的XML文件,里面包含了AES加密的密码。 NETLOGON NETLOGON目录 挂载点:SYSVOL\domain\SCRIPTS 主要存放的是一些脚本信息,是AD活动目录安装时候自动创建的,是在sysvol下面的一个子目录文件夹 SYSVOL
2.2K10编辑于 2022-07-06 - 来自专栏HACK学习
内网渗透 | 浅谈域渗透中的组策略及gpp运用
0x1.2 SYSVOL 解决办法之一是为认证数据采取SYSVOL,SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。 SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为SYSVOL能在所有域控里进行自动同步和共享。 NETLOGON目录 挂载点:SYSVOL\domain\SCRIPTS 主要存放的是一些脚本信息,是AD活动目录安装时候自动创建的,是在sysvol下面的一个子目录文件夹 SYSVOL目录 SYSVOL 搜索SYSVOL的下的脚本命令 shell for /r \\dc/sysvol %i in (*.vbs) do @echo %i shell for /r \\dc/sysvol %i in (*. 然后我们根据该ID去SYSVOL搜索即可得到该目录下的文件 C:\Windows\SYSVOL\sysvol\test1.local\Policies\{A7797762-FD8F-4B74-803E-BAE362BCC905
3.6K20发布于 2021-06-24 - 来自专栏FreeBuf
内网渗透基石篇--权限提升
sysvol在所有经过身份验证的域用户、域信任用户具有读权限的活动目录的域范围内共享,整个sysvol目录在所有的域控制器中是自动同步和共享的,所有的域策略都存放在sysvol下。 SYSVOL是所有经过身份验证的用户具有读访问权限的Active Directory中的域范围共享 SYSVOL是指存储域公共文件服务器副本的共享文件夹,它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script等信息。同时,存放在Sysvol文件夹中的信息,会复制到域中所有DC上。 SYSVOL包含登录脚本,组策略数据以及需要在任何有域控制器的任何地方可用的其他域范围数据(因为SYSVOL在所有域控制器之间自动同步并共享)。 所有域组策略都存储在这里:\\ SYSVOL \\ Policies \ 注意:C:\Windows\SYSVOL目录下,只有创建组策略脚本登录才能有策略脚本配置文件groups.xml,默认是没有的
2.3K60发布于 2021-07-03 - 来自专栏王忘杰的小屋
windows AD域跨大版本升级,域、林2003升级至2016,系统2008迁移至2022
指定域仍使用文件复制服务(FRS)复制SYSVOL共享。 for SYSVOL Replication Start (State 0) 在SYSVOL迁移前,FRS复制SYSVOL共享文件夹 Prepared (State 1) FRS继续复制域使用的SYSVOL SYSVOL文件夹的此副本不用于服务来自其他域控制器的请求。 Redirected (State 2) SYSVOL文件夹的DFS复制副本将负责处理来自其他域控制器的SYSVOL请求。 FRS继续复制原始的SYSVOL文件夹,但是DFS复制现在复制在重定向状态下使用域控制器的生产SYSVOL文件夹。 Eliminated (State 3) DFS复制继续处理所有SYSVOL复制。 Windows删除原始SYSVOL文件夹,FRS不再复制SYSVOL数据。
3.3K21编辑于 2022-09-22 - 来自专栏漏洞知识库
『权限提升系列』- 组策略首选项提权
objUser.SetInfo 这种方式十分简便,但也存在着极大的弊端,弊端在于修改后的密码会明文保存在vbs脚本中 而该vbs脚本通常会保存在共享文件夹SYSVOL 这就存在一个隐患: 任何域用户都能读取该 SYSVOL SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。 SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为SYSVOL能在所有域控里进行自动同步和共享。 域内主机重新登录,即可在目录下C:\Windows\SYSVOL\domain\Policies查看ID相对应的策略。 此外,针对Everyone访问权限进行设置,具体如下: 1、设置共享文件夹SYSVOL的访问权限 2、将包含组策略密码的 XML 文件从 SYSVOL 目录中删除 3、不要把密码放在所有域用户都有权访问的文件中
5.2K10发布于 2020-05-25 - 来自专栏漏洞知识库
Windows 2008 GPP 组策略首选项漏洞利用
\domain\Policies 目录下有 ID 相对应的文件夹目录即可查看到文件: 9、其实 C:\Windows\SYSVOL\domain\Policies\{F776977C-E982-4662 SYSVOL 是所有经过身份验证的用户访问的 Active Directory 中的域扩展共享文件夹,也就是说只要你是域用户,你就可以访问这个首选项共享文件夹。 所有域组策略都存储在这里:\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ 当为用户或组帐户创建新的 GPP 时,它将与在 SYSVOL 中创建的 Group.XML 文件相关联 @#456 1、首先域机器 work-2008 可以直接 dir 查看域控的 sysvol 共享目录: dir \\10.10.0.8\sysvol 2、我们可以直接一步步的来到 \\10.10.0.8 for /r \\AD-2008/sysvol %i in (*.xml) do @echo %i 4、通过得到 Groups.xml 文件后,我们得到了以下信息: newName="admin"
1.7K30发布于 2021-10-27 - 来自专栏红队蓝军
域内定位个人PC的三种方式
t", "").Replace("\r", "")); } } } } } gpo下发query user写log到sysvol 管理员可以将 query user 命令的输出写入到 sysvol 目录中,以便对用户登录情况进行记录和统计。sysvol 目录是 Windows 中一个共享目录,用于存储域控制器上的组策略文件。 管理员可以将 query user 命令的输出信息写入到 sysvol 目录中,以便通过域控制器来管理和访问这些信息。 powershell Import-Module GroupPolicy;new-gplink -name QueryDomainUser01 -Target "dc=god,dc=org" 修改sysvol 的权限 icacls c:\windows\sysvol\ /grant Everyone:(OI)(CI)(F) /T 下发执行 SharpGPOAbuse.exe --AddComputerTask
90430编辑于 2023-02-25 - 来自专栏《ATT&CK视角下的红蓝攻防对抗》
域渗透之定位个人用户
方法二是通过下发组策略,在域内所有机器执行quser命令并写入域控制器sysvol目录。 计划任务的内容为将”query user”命令的输出,并以每个机器的机器名为文件名创建文本,写入到域控制器的sysvol目录下,从而方便我们在内网渗透中定位个人PC。 3)在命令终端中执行icacls c:\windows\sysvol\ /grant Everyone:(OI)(CI)(F) /T"命令来修改sysvol文件夹的权限,使任意用户能往里写文件,如图1 QueryDomainUser003" --Author test\\administrator --Command "cmd.exe" --Arguments "/c query user > \\WIN-EAMMFCNN8TJ\sysvol -10所示 6)当组策略自动更新成功时会执行上述操作,或者我们可以使用“gpupdate /force”强制执行,此时域内每台Windows机器会执行query user”,然后将结果输出到域控制器的sysvol
1.1K11编辑于 2024-02-11 - 来自专栏Khan安全团队
Active Directory中获取域管理员权限的攻击方法
SYSVOL 和组策略首选项中的密码 这种方法是最简单的,因为不需要特殊的“黑客”工具。攻击者所要做的就是打开 Windows 资源管理器并在域 SYSVOL DFS 共享中搜索 XML 文件。 SYSVOL 包含登录脚本、组策略数据和其他需要在有域控制器的任何地方可用的域范围数据(因为 SYSVOL 自动同步并在所有域控制器之间共享)。 所有域组策略都存储在这里:\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ 当创建一个新的 GPP 时,会在 SYSVOL 中创建一个关联的 XML 文件,其中包含相关的配置数据 由于经过身份验证的用户(任何域用户或受信任域中的用户)对 SYSVOL 具有读取权限,因此域中的任何人都可以在 SYSVOL 共享中搜索包含“cpassword”的 XML 文件,该值是包含 AES 加密密码的值 有关此攻击方法的更多信息在帖子中进行了描述:在 SYSVOL 中查找密码并利用组策略首选项。
7K10编辑于 2022-01-24 - 来自专栏Bypass
基于AD Event日志实时检测GPO后门
将准备后的脚本复制到SYSVOL相应的目录下,打开组策略管理(gpmc.msc),右键组策略对象,添加登录启动项脚本: Scripts目录包含开关机和登入登出的执行脚本,使用组策略添加开机脚本后,会在 \\evil.com\SYSVOL\evil.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Scripts\scripts.ini 设置计划任务后,对应的配置文件存放在如下的地方: \\evil.com\SYSVOL\evil.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER \\evil.com\SYSVOL\evil.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Applications\xxxx.aas 03、攻击检测 基于以上攻击事实,我们可以总结出,每当攻击者通过GPO下发恶意策略时,\evil.com\SYSVOL\evil.com\Policies\ 相应的配置文件就会发现变化。
73730编辑于 2022-12-01 - 来自专栏HACK学习
内网渗透|域内的组策略和ACL
GPT位于域控的 C:\Windows\SYSVOL\sysvol\redteam.local\Policies ? Macheine目录:包含针对计算机的策略配置。 4.1 SYSVOL 域内有个密码难题,域内大量机器为了安全都会修改密码,标准做法就是组策略批量设置本地administrator密码。但是这样会出现一个问题就是密码都统一了。 解决办法之一就是通过认证数据采取SYSVOL,这个是AD里面一个储存公共文件服务器副本的共享文件夹。 所有认证用户都可以读取,SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为SYSVOL能在所有域控里进行自动同步和共享。 ? 我们给普通用户设置SeEnableDelegationPrivilege权限 修改 C:\Windows\SYSVOL\sysvol\redteam.local\Policies\{6AC1786C-016F
2.9K40发布于 2021-08-13 - 来自专栏有困难要上,没有困难创造困难也要上!
Windows域用户设置用户登录脚本
test.log echo %USERNAME% >> c:\test\test.log 将上面初始化脚本放到下面目录下,如果按照的时候修改了默认AD域安装路径,适当根据自己的情况调整 C:\Windows\SYSVOL \sysvol\<domain>\scripts 然后在AD域的“用户和计算机”管理中,选中要使用上面登录脚本的用户 -> 属性 -> 配置文件 -> 登录脚本,输入:test.bat 然后在客户机上重新使用这个域用户登录系统
4K60发布于 2018-05-14 - 来自专栏鸿鹄实验室
域渗透之GPP漏洞
密码更改方式一:SYSVOL SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据。 默认路径为: \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ ?
3.6K20发布于 2021-07-06 - 来自专栏Windows技术交流
Disable Num Lock notification in VMware Workstation
System32 \ GroupPolicy \ User Computer\ Scripts \ Logon“ Domain logon script path = “%SysVolFolder% \ Sysvol \ Sysvol \ DomainName \ Scripts“ Hold down the Windows Key and press “R” to bring up the Windows Run
1.9K20发布于 2021-09-29 - 来自专栏有困难要上,没有困难创造困难也要上!
Windows AD域通过组策略设置域用户登录和注销脚本
这里可以先在属性窗口的下部使用“显示文件”来查看默认脚本文件都放在什么地方,比如,在我的环境下是: 登录脚本路径 \\<domain>\sysvol\<domain>\Policies\{31B2F340 -016D-11D2-945F-00C04FB984F9}\User\Scripts\Logon 注销脚本路径 \\<domain>\sysvol\<domain>\Policies\{31B2F340
5.3K80发布于 2018-05-14 - 来自专栏网络安全技术点滴分享
后门与入侵:登录脚本的滥用与防御
默认域登录脚本篡改undefined通过检查AD用户的scriptPath属性或\\<domain>\SYSVOL\Scripts共享,攻击者可发现可写脚本。 企业防御建议实施最小权限原则,限制GPO和AD对象修改权限部署端点检测工具监控关键注册表键和系统目录定期审计SYSVOL共享和组策略对象的NTFS权限使用BloodHound等工具识别环境中的特权提升路径登录脚本自动化功能在便利管理的同时
20600编辑于 2025-07-20 - 来自专栏FreeBuf
Dissect:一款功能强大的事件响应和数字取证框架
Windows XP (NT 5.1) 2600 Domain : None IPs : ['192.168.1.111'] N-1A9ODN6ZXK4LQ /> cd sysvol N-1A9ODN6ZXK4LQ /sysvol> cat boot.ini [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect N-1A9ODN6ZXK4LQ /sysvol > cd Documents and Settings N-1A9ODN6ZXK4LQ /sysvol/Documents and Settings> ls All Users Default User
50410编辑于 2023-12-12 - 来自专栏谢公子学安全
域的搭建和配置
SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。 SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。 这里会看到我们之前的选择和设置,如果没问题直接点击下一步即可。 如图所示: 这里的数据库文件夹、日志文件文件夹和SYSVOL文件夹我们保持默认即可,然后点击下一步。 SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。 这里会看到我们之前的选择和设置,如果没问题直接点击下一步即可。 SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。 这里会看到我们之前的选择和设置,如果没问题直接点击下一步即可。
4.6K30编辑于 2023-09-01 AD域攻防权威指南:三十六.域分析之Group3r
一、Group3r简介Group3r是C#编写的组策略检测工具,用于Pentester和红队成员快速枚举AD组策略中的相关设置,并在其中识别可利用的错误配置的工具,它通过LDAP连接域控解析域SYSVOL 执行命令及结果如图1-2所示
图1-2查看帮助信息 五、示例当我们运行Group3r后,工具首先会列举相应存在问题组策略的相关信息,例如:组策略的名称,创建日期,修改日期,SYSVOL8910编辑于 2026-02-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号