Loading...

GPP attack

Created2025-05-29|Updated2025-05-29|articles

|Post Views:

Définition

Une attaque trés simple qui permet de récupérer des identifiants stockés dans le partage SYSVOL qui peuvent être utilisés pour gagner un shell ou faire une escalade de privilèges.

Une GPP (Group policy Preference) est une ancienne fonctionnalité qui permet de configurer des préférences sur les machines d’un Active Directory. Contrairement aux GPO, les GPP ne sont pas strictement appliqués sur les machines d’un domaine AD et permettent aux utilisateures de modifier les paramètres après leur application.

Les GPP sont souvent utilisé pour :

Créer des raccourcis sur les bureaux
Configurer des lecteurs réseaux automatiquement
Changer les fonds d’écran

Principe de l’attaque

Avant la mise à jour de sécurité MS14-025, les adminsitrateurs utilisaient les GPP pour déployer des mots de passe via des fichiers XML stockés dans le SYSVOL de l’AD dans le dossier policies (groups.xml,Drives.xml,Services.xml). Ces permettent grâce aux mots de passe de configurer des parametres comme :

Le mot de passe des comptes locaux
Mappage de lecteurs avec identifiants
Services configurés avec des comptes priviligiés
Tâches planifiés avec des mots de passe stockés

Le problème est que ces mots de passe étaient chiffré en AES avec une clé statique identique pour tout le monde qui a été rendu public. Cela signifie que toute personne accédeant au partage SYSVOL peut déchiffrer ces mots de passe.

Pour exploiter cette attaque, on peut soit chercher le fichier manuellement et chercher la variable cpassword :

Puis la déchiffrer à l’aide de gpp-decrypt :

Soit utiliser le module smb_enum_gpp de metasploit si on a des identifiants :

Cette vulnérabilité à maintenant était corrigé mais les anciens fichiers xml peuvent persister. Il convient donc de les supprimer pour corriger cette faille.

ActiveDirectory GPP

Related Articles

Golden Ticket Attack

Une attaque Golden ticket est un type d’attaque spécifique au protocole d’autentification kerberos. Kerberos est utilisé pour authentifier de maniere sécurisé les utilisateurs et les services sur un réseau. C’est quoi une attaque Golden ticket ?L’attaque Golden ticket exploit la maniere dont fonctionne Kerberos et en particulier la génération du TGT par le KDC. Si un attaquant obtient un accés au compte krbtgt, le compte utilisé par le KDC pour signer les TGT, un attaquant peut créer de faux ...

Vulnlab - Hybrid

Hybrid est une chaine composé d’un Active Directory qui contient une machine Windows et une Linux. L’accès initial se fait en compromettant la machine Linux puis la compromission du domaine est possible en utilisant une attaque ADCS EnumérationOn commence par lancer un scan nmap sur les ips fournies. 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374┌──(kali㉿kali)-[~/ctf/vulnlab/hybrid]└─$ nmap -A -iL i...

DéfinitionLe protocole NTLM est un ancien protocole d’authentification utilisé par les machines Windows utilisé pour s’authentifier au niveau d’un domaine ou au niveau du réseau. C’est un protocole de type Challenge / Response donc il permet de s’authentifier auprés d’un serveur sans jamais que le mot de passe ne transite sur le réseau. Ce protocole est trés utilisé par les entreprises conjointement avec le protocole Kereberos. Seul les entreprises avec une bonne maturité cyber ne l’util...

Pass The Ticket Attack

Cet article sera un walkthrough du lab de l’ine concernant cette attaque. PowerviewPowerview est un outil PowerShell permettant de faire de la reconnaissance dans les domaines Windows. Il contient un ensmble de commansdes Powershell qui remplacent les commandes Windows classiques de type net * On commence le lab en ouvrant un invite de commande powershell et en activant l’execution de scripts : Ensuite, on peut trouver les machines du domaine sur lesquelles l’utilisateur actuel est administ...

SynthseTea est une chaine Active Directory contenant 2 machines à compromettre. L’accès initial ce fait en exploitant un runner CI/CD sur une instance Gitea et la compromission total du domaine est possible grace à la connexion WSUS du controleur du domaine. Enumération initialCommencons par un scan nmap des deux machines.Il semble qu’on ait un controleur de domaine qui n’est pas derrière un firewall avec une machine hébergeant des services web.On peut récupérer le nom des deux machines ...

Vulnlab - Heron

Heron est un lab de difficulté moyenne. Le scénario suppose une compromission initiale sur une machine Linux jointe à un domaine, nécessitant un pivot vers un contrôleur de domaine pour tenter de le compromettre. EnumérationCommençons par le scan Nmap habituel :Le scan montre que la machine 10.10.168.69 n’a pas de ports accessibles, probablement en raison d’un firewall. En revanche, 10.10.168.70 a le port 22 ouvert. Cela suggére que nous devons commencer en nous connectons à la machine Linux ...

Loading Database