[Root-me] : Active Directory - GPO

Active Directory GPO 에 대해서 알아보았다. 

GPO란 Group Policy 에 대한 것으로, Admin이 그 하위 컴퓨터들을 관리하는 옵션이다.

Active Directory 는 위의 정보를 저장하고 있는 DB 정도로 생각하면 되겠다.

그럼 이런 정책을 관리하는 중에 pw가 유출 될 수 있는 것 같다. 

wireshark 로 파일을 분석하던 중 집중해서 볼 만한 것을 찾았다.

이렇게 다른 기기에 대해서 Policy를 다루는 행위를 SMB2 패킷에서 볼 수 있었다.

SMB2 패킷들을 본 결과 비밀번호가 내용으로 전달되지는 않는 것으로 확인했다.

또 패킷들이 파일을 생성 전달하는 것으로 보아 파일의 형태로 비밀번호가 전달될 수도 있기 때문에 추출 가능한 파일이있나 찾아보았다.,

각 파일들에 대해서 검색해 보았는데 

gpt.ini : 그룹 정책의 구성 설정에 대한 내용.

Groups.xml : 계정들에 대한 보안정보를 가지고 있으며, 취약하다고 많이 나온다.

그럼 Groups.xml 을 보는게 맞는 것 같다. 파일 자체가 한줄로 쓰여 있으니 beautifier 를 이용해서 좀 이쁘게 보자.

<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}">
    <User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="Helpdesk" image="2" changed="2015-05-06 05:50:08" uid="{43F9FF29-C120-48B6-8333-9402C927BE09}">
        <Properties action="U" newName="" fullName="" description="" cpassword="PsmtscOuXqUMW6KQzJR8RWxCuVNmBvRaDElCKH+FU+w" changeLogon="1" noChange="0" neverExpires="0" acctDisabled="0" userName="Helpdesk" />
    </User>
    <User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="Administrateur" image="2" changed="2015-05-05 14:19:53" uid="{5E34317F-8726-4F7C-BF8B-91B2E52FB3F7}" userContext="0" removePolicy="0">
        <Properties action="U" newName="" fullName="Admin Local" description="" cpassword="LjFWQMzS3GWDeav7+0Q0oSoOM43VwD30YZDVaItj8e0" changeLogon="0" noChange="0" neverExpires="1" acctDisabled="0" subAuthority="" userName="Administrateur" />
    </User>
</Groups>

여기서 cpassword 값이 2개가 있는데 우린 admin의 password를 찾아야 하니, Hepldesk 의 비밀번호가 아닌, 아래의 cpassword를 확인해야 한다.

cpassword는 딱 봐도 암호화되어 있는데, AES로 암호화되어 있다고 한다. 그런데 Key 가 알려진 key라서 쉽게 복호화 할 수 있다고 한다. 

마소에서 제공하는 키니까 믿어보자.

나는 gpp-decrypt라는 툴을 사용했다.

python3 gpp-decrypt.py -c LjFWQMzS3GWDeav7+0Q0oSoOM43VwD30YZDVaItj8e0

이렇게 쉽게 나오는것을 확인할 수 있다.