- 综合排序
- 最热优先
- 最新优先
- 来自专栏Bypass
基于AD Event日志实时检测GPO后门
在域控这种中央集权系统,通过组策略只需要更改一个组策略对象(GPO),就能影响成千上万的计算机,一旦被恶意利用后果不堪设想。 基于勒索病毒攻击感染的场景,组策略对象(GPO)的敏感操作需要实时监控,这是保持内网安全所必需的。那么,今天我们来分析一下GPO后门的方式,总结规律,制定对应的检测规则。 (1)通过GPO添加启动项脚本 在真实的运维场景中,为了便于管理域环境中计算机本地管理员密码,一般会使用GPO组策略下发脚本来统一修改密码。 {31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Applications\xxxx.aas 03、攻击检测 基于以上攻击事实,我们可以总结出,每当攻击者通过GPO 通过监视网络共享对象和Accesses权限,可实现GPO组策略后门的实时检测。
75030编辑于 2022-12-01 - 来自专栏计算机视觉life
GPO:快速、准确地进行单眼SLAM初始化的全局平面优化
GPO:快速、准确地进行单眼SLAM初始化的全局平面优化 摘要 初始化对于单目SLAM来说是必须的。本文重点研究了一种基于平面特征的单目SLAM初始化方法。 该算法从滑动窗口的单应矩阵估计开始,然后通过全局平面优化(global plane optimization, GPO)获取相机位姿和平面法线。 然后,我们使用全局平面优化(GPO)最小化对应点关于平面法线和缩放平移的二维重投影误差。最后,我们使用平面方程估计平面上的3D点。我们方法的核心是通过使用所有帧的信息来避免单应矩阵的分解。 我们说明了本文提出的GPO在精度和实时性上都由于其他的初始化方法。 总结一下 在本文中,我们提出了一种新的基于平面特征的单目SLAM初始化方法GPO。通过联合多帧平面信息,我们的方法避免了三角化和单应矩阵分解的负担。我们在棋盘数据集上验证了系统的性能。
1.2K20发布于 2020-09-09 - 来自专栏FreeBuf
如何通过用户的编辑权限控制组策略对象(GPO)控制的对象
(GPO)控制的对象。 --GPOName 存在安全漏洞的GPO名称。 --GPOName 存在安全漏洞的GPO名称。 --GPOName 存在安全漏洞的GPO名称。 Wait for the GPO refresh cycle. [+] Done! 项目地址:点击底部【阅读原文】获取精彩推荐
1.9K20编辑于 2023-04-26 - 来自专栏红蓝对抗
攻击者利用 Active Directory 站点提升权限并入侵域
虽然这种架构具有合法的管理目的,但攻击者发现组策略对象 (GPO) 可以直接链接到站点对象,从而影响这些站点内的所有资源。 攻击者只要在林中任何域中拥有被盗用的凭据,就可以在其控制的域中创建恶意组策略对象 (GPO),然后将其链接到包含目标域控制器的站点。 针对关联 GPO 漏洞利用向量的攻击路径。这次攻击的危险之处在于它绕过了标准的加固措施。 要使攻击成功,被入侵的域必须保持与目标域控制器的网络连接,以便它们能够通过 LDAP 和 SMB 流量获取恶意 GPO。 此外,安全监控策略应优先考虑检测跨站点边界的异常 GPO 部署,以便在遭受攻击之前识别攻击企图。
18210编辑于 2025-11-14 - 来自专栏夏天的前端笔记
一招教你一秒发版
@echo off echo "-------Begin-------" D: echo "start tradesz" cd D:\code\yaoling-gpo-fe-tradesz git status merge origin test git push git checkout test echo "深圳" echo "start tradehzplus" cd D:\code\yaoling-gpo-fe-tradehzplus merge origin test git push git checkout test echo "惠州" echo "start trademzplus" cd D:\code\yaoling-gpo-fe-trademzplus merge origin test git push git checkout test echo "梅州" echo "start tradeyjplus" cd D:\code\yaoling-gpo-fe-tradeyjplus merge origin test git push git checkout test echo "阳江" echo "start tradeplusdg" cd D:\code\yaoling-gpo-fe-tradeplusdg
19410编辑于 2024-01-18 - 来自专栏今天有没有多懂一点工业安全
查找 AD 组策略中的漏洞工具
它通过将 LDAP 与域控制器通信、解析域 SYSVOL 共享的 GPO 配置文件以及查看 GPO 中引用的其他文件(通常在文件共享上)来实现这一点,例如脚本、MSI 、exe 等。 围绕组策略的许多攻击主要集中在两个主要方面:查找密码(在 GPP 密码等中),以及滥用弱 ACL 来修改 GPO。 这是一个例子: 以红色突出显示的位是组策略对象 (GPO)。 该部分的顶部栏告诉您它是 GPO、GPO 的显示名称 ( testgpo123 )、GPO 的唯一标识符(大括号中的位)以及 GPO 是当前的还是“Morphed”。 在此之下,可以获得有关 GPO 本身的一些基本信息,包括它链接到的 OU(如果有)。 紫红色突出显示的位是一个设置。块侧面的缩进和小 ASCII“尾巴”是为了更容易看出它与上面的 GPO 相关联。
79910编辑于 2022-05-10 - 来自专栏HACK学习
内网渗透|域内的组策略和ACL
0x02 什么是OU OU 是用户、组和计算机的容器对象,它提供了一个通过链接组策略对象 (GPO) 来委托管理权限和管理的框架。 例如,不能将 GPO 直接应用于容器。 默认情况下,安装 AD DS 会创建域控制器 OU 和多个泛型容器对象。AD DS 主要使用其中一些默认隐藏的默认对象。 每条组策略都是储存在域里面的一个对象我们称之为GPO,每一个GPO都有一个唯一ID。 ? GPO分为GPC和GPT:GPO:组策略对象。GPC:组策略容器。GPT:组策略模板。 GPC:包含了GPO的属性,本身的配置信息,版本等等。可以通过GPC访问GPT数据储存位置和版本。GPT:一个具有结构层次的共享目录,存放于域控中,包含所有的组策略信息。 gpo的信息量比较大,这也是gpo将gpc与其分开的原因。应为gpc存放于活动目录中,活动目录数据大会对性能及网络造成影响。 通过AD Explorer查看GPC ?
2.9K40发布于 2021-08-13 - 来自专栏鸿鹄实验室
议题解读:One Domain Account For More Than Exchange Server RCE
password@exchange1 attackaddress 横向移动、域提权 横向移动 作者给的图以及很明了了,有一个Exchange Trusted Subsystem组成员权限的前提下,便可以利用GPO SharpGPO.exe --Action NewOU --OUName "EvilOU" //新建OU SharpGPO.exe --Action NewGPO --GPOName "EvilGPO" //新建GPO AddUserTask --TaskName "PocCalc" --Author attch --Command "cmd.exe" --Argument "/c calc.exe" --GPOName //给GPO CN=XXX,OU=Domain Controllers,DC=xx,DC=xx" --DstDN "OU=EvilOU,DC=xx,DC=xx" //将指定机器移动到新建的OU中 最后移除新建的OU、GPO --Action RemoveOU --OUName "EvilOU" //移除OU SharpGPO.exe --Action RemoveGPO --GPOName "EvilGPO" //移除GPO
86850发布于 2021-08-25 在 Windows 中将域用户添加到本地管理员组
在本文中,我们将介绍如何手动和通过 GPO 管理域计算机上本地 Administrators 组的成员。 GPMC.msc 编辑您之前创建的 AddLocaAdmins GPO; 转到以下 GPO 部分:计算机配置 –> 首选项 –> 控制面板设置 –> 本地用户和组; 添加新规则(新建 -> 本地组); 可以使用 GPO WMI 筛选器或项级目标来授予特定计算机上的本地管理员权限。 如果要更改管理员组中的成员身份顺序,请使用 GPO 编辑器控制台顶部的按钮。 使用受限组 GPO 管理本地管理员 受限组策略还允许将域组/用户添加到计算机上的本地安全组。 在这种情况下,要向下一位技术支持员工授予管理员权限,只需将他添加到域组(无需编辑 GPO)。
47210编辑于 2026-03-19- 来自专栏谢公子学安全
内网渗透 | Windows域的管理
(Group Policy Object)的概念:存储组策略的所有配置信息,AD中的一种特殊对象 默认GPO:默认域策略、默认域控制器策略 GPO链接:只能链接到站点、域、OU 组策略的应用规则 策略继承与阻止 :下级容器可以继承或阻止应用其上级容器的GPO设置 策略累加与冲突:多个GPO设置可以累加或发生冲突被覆盖 策略强制生效:使下级容器强制执行其上级容器的GPO设置 筛选:阻止一个容器内的用户或计算机应用其 GPO设置 策略继承与阻止 下级容器默认会继承来自上级容器的GPO ,子容器可以阻止继承上级容器的GPO ,右击容器→阻止继承 策略累加与冲突 如果多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加 如果多个组策略设置冲突,则后应用的组策略覆盖先应用的组策略 组策略应用顺序 组策略应用顺序: 首先应用本地组策略 如果有站点组策略,则应用 接着应用域策略 最后应用OU上的策略 如果同一个OU上链接了多个GPO ,则按照链接顺序从高到低逐个应用 策略强制生效:强制生效是上级容器强制下级容器执行其GPO设置 筛选:筛选可以阻止一个GPO应用于容器内的特定计算机或用户 委派→权限设置 打开本地组策略:WIN+R键打开运行窗口
2.4K10编辑于 2022-01-19 - 来自专栏AI科技评论
ICLR 2020 满分论文 | 额外高斯先验目标,缓解负多样性无知
图1:D2GPo生成示例 为了缓解负多样性无知的问题,我们添加了一个额外的高斯先验目标,以增加一个额外的Kullback-Leibler(KL)偏离损失项来增强当前的MLE训练。 然后通过KL散度项将建议的数据相关高斯先验目标(D2GPo)注入到最终损失中。 D2GPo与常用的与数据无关的高斯先验(L2正则化)相距甚远,L2正则化的目的是简化MLE的训练,这也直接加到了MLE损失中。 图2:图像摘要例子 图2:我们提出的D2GPo与基线模型在图像摘要任务中的例子。 从上面的例子可以看出使用SCST训练的模型返回更精确和更详细的图像摘要;而使用D2GPo训练的模型返回一个语法更完整的句子,这说明D2GPo在语言生成任务中的有效性。
78630发布于 2020-01-16 - 来自专栏红队蓝军
域内定位个人PC的三种方式
(" ", "").Replace("\t", "").Replace("\r", "")); } } } } } gpo 下发query user写log到sysvol GPO(Group Policy Object)是 Windows 中的一种管理技术,用于管理域中用户和计算机的设置。 通过 GPO,管理员可以下发策略来配置用户和计算机的系统设置,以实现统一的管理和控制。 在 GPO 管理环境下,管理员可以使用 query user 命令来查询当前连接到计算机的用户的信息。 创建组策略 Import-Module GroupPolicy;new-gpo -name QueryDomainUser01 连接到域 powershell Import-Module GroupPolicy
91330编辑于 2023-02-25 - 来自专栏VMCloud
【解析向】腾讯云的Windows Server日志配置收集工具是个什么鬼?(2)
,然而如果乱玩GPO,或者不理解“计算机配置”、“用户配置”之间的层级关系很容易就会出现系统奇奇怪怪的问题,gpresult是个很经典的命令加/r可以输出计算机中的当前应用的GPO策略。 然而,这个命令对于加入域的域成员机可能有问题,因为存在域权限问题,要知道加入域的域成员机GPO都是统一由域控(DC)统一下发并应用的,不过,按照国内云厂商以及IT环境,估计对于云上搭域这种玩法很少企业能玩得转吧 说回这个GPO,几乎涵盖了所有WindowsServer系服务的控制,简单举一个利用这个GPO排错的例子 某一次我远程发现无法连接,通过日志排查到,最后发现是GPO里输出了这条: image.png 所以才定位到原来某次误操作把GPO中的远程连接会话数限制了1次,所以当两个人同时进行连接时,另外一个人就无法连接 其实gpresult /r仅仅只能输出概述,更详细的应该使用gpresult 那么gpo策略究竟在Windows Server里应该如何排查呢?
2.1K70发布于 2018-06-14 - 来自专栏HACK学习
内网渗透 | 浅谈域渗透中的组策略及gpp运用
如果更改权限,这个地方会显示拒绝访问 GPO 组策略对象,GPO(Group Policy Object),实际上就是组策略设置的集合。 不难看到这个GPO作用的范围是DC这个OU,相应的执行优先级如下图 ? 通过GPO我们可以指定控制OU下的所有用户,比如批量下发木马或者进行其他操作。 1.直接的方式 比如简单和暴力的方式,就是直接将我们的木马当成脚本放在域策略或者自己新建个GPO然后在启动|关闭中放入我们的木马,然后将该GPO链接到你想搞的OU下,这样就可以实现定向打击,这种感觉比较明显吧 这里演示下如何使用New-GPOImmediateTask.ps1 1.导入powershell中管理GPO的模块&创建一个作用整个域的GPO Import-Module GroupPolicy –verbose
3.6K20发布于 2021-06-24 - 来自专栏红队蓝军
浅谈域渗透中的组策略及gpp运用
(普通的域用户也可以) 如果更改权限,这个地方会显示拒绝访问 GPO 组策略对象,GPO(Group Policy Object),实际上就是组策略设置的集合。 你可以用GPO来存储不同的组策略信息,然后作用在指定OU或者指定作用范围发挥作用。 通过GPO我们可以指定控制OU下的所有用户,比如批量下发木马或者进行其他操作。 1.直接的方式 比如简单和暴力的方式,就是直接将我们的木马当成脚本放在域策略或者自己新建个GPO然后在启动|关闭中放入我们的木马,然后将该GPO链接到你想搞的OU下,这样就可以实现定向打击,这种感觉比较明显吧 这里演示下如何使用New-GPOIm/images/浅谈域渗透中的组策略及gpp运用teTask.ps1 1.导入powershell中管理GPO的模块&创建一个作用整个域的GPO Import-Module
2.2K10编辑于 2022-07-06 - 来自专栏FreeBuf
方程式组织DanderSpritz工具测试环境研究
192.168.40.4/24 Lab主机 DC - Windows 2008 R2域控制器 用于Windomain.local的Windows域控制器 WEF Server Configuration GPO Enhanced Auditing GPO PowerShell logging GPO 目标 - Windows 7 Workstation 模拟目标 workstation / machine 加入 Monitor InfoPe HxD PEView Windbg WireShark Binary Ninja HashCalc IDA 7 Free Ollydbg Enhanced Auditing GPO PowerShell logging GPO Windows事件转发到域控制器(WEC) *参考来源:GitHub,FB小编 secist 编译,转载请注明来自FreeBuf.COM
1.4K40发布于 2018-07-31 - 来自专栏释然IT杂谈
想限制员工上网?这6种方法比拔网线高明,第6种老板都叫绝
方案3:Windows组策略GPO(域环境神器) 纯Windows域环境,GPO是性价比之王,只能管Windows、可被本地管理员绕过 操作步骤: GPMC.msc打开组策略管理 新建GPO链接到"设计部 高级安全Windows防火墙 新建出站规则: - 程序:chrome.exe - 远程IP:106.11.0.0/16(淘宝) - 动作:阻止 gpupdate /force强制刷新 一句话:GPO 建议小规模从DNS入手,中大型直接上行为管理,域环境必须用好GPO。记住:封网不是目的,提升工作效率才是。 互动话题:你们公司用的是哪种方案?有没有更奇葩的封网经历?评论区聊聊~
51621编辑于 2025-11-19 - 来自专栏安恒网络空间安全讲武堂
【译】Cromos – 下载并注入代码到谷歌 Chrome 浏览器扩展中
组策略对象(GPO) Chrome允许你添加扩展使用Windows组策略对象(GPO)。
1.4K60发布于 2018-02-06 - 来自专栏HACK学习
内网渗透|LAPS的使用小技巧
LAPS其实可以理解为一条GPO,它会隔一段时间去执行一些操作: •检查密码是否过期•当密码过期或者说过期前生成一个新的密码•通过密码策略来验证新密码•向Active Directory发送密码,并且把计算机的属性发送过去一起存储 Set-AdmPwdResetPasswordPermission -OrgUnit 计算机 -AllowedPrincipals PWAdmin #设置PWAdmin用户组可以重置“计算机”这个OU里面的本地管理员账号和密码 然后配置GPO ,让客户端通过GPO来更新本地管理员密码 创建LAPS的GPO然后把计算机链接到这个GPO IrCJp9.png IrCYlR.png 然后编辑 IrCt61.png 然后就是给客户端安装了,只需要第一个
2.1K30发布于 2021-11-19 - 来自专栏Khan安全团队
Microsoft 本地管理员密码解决方案 (LAPS)
LAPS 解决方案的核心是一个 GPO 客户端扩展 (CSE),它执行以下任务并可以在 GPO 更新期间强制执行以下操作: • 检查本地管理员帐户的密码是否已过期。 安装LAPS客户端组件(通过 SCCM 或类似组件),该组件执行密码更改并根据 LAPS GPO 设置更新计算机的属性。 计算机启动脚本(通过 GPO)也可以工作。 GPO 组件用于部署和管理 LAPS GPO。 中央存储,因此可以从任何系统管理 LAPS GPO(PolicyDefinitions 中的 admx 文件和 en-US 子文件夹中的 adml 文件)。
5.3K10编辑于 2022-01-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号