Group3r:一款针对活动目录组策略安全的漏洞检测工具

关于Group3r

Group3r是一款针对活动目录组策略安全的漏洞检测工具,可以帮助广大安全研究人员迅速枚举目标AD组策略中的相关配置,并识别其中的潜在安全威胁。

Group3r专为红蓝队研究人员和渗透测试人员设计,该工具可以通过将 LDAP 与域控制器对话、解析域 SYSVOL 共享中的 GPO 配置文件以及查看 GPO 中引用的其他文件(通常在文件共享上)来实现这一点,例如脚本、MSI 包、exe 等。

工具安装

源码获取

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

复制代码
git clone https://github.com/Group3r/Group3r.git

然后使用最新版本的Visual Studio打开项目代码,然后根据操作系统架构完成代码编辑即可。

发布版本

我们还可以直接访问该项目的【Releases页面】下载最新版本的Group3r。

工具使用

-s:将结果发送到标准输出;

-f group3r.log:将结果发送到文件;

-u domain\user:将使 Group3r 尝试执行文件权限检查,就像以该用户身份运行一样;

-w:将限制输出仅显示具有相关"发现"的设置;

-a 4:将限制输出仅包含严重程度最高的发现;

-e仅显示已启用的 GPO、策略类型和设置;

工具运行演示

输出读取

用红色突出显示的位是组策略对象 (GPO)。该部分的顶部栏会告诉您它是一个 GPO、GPO 的显示名称 ( testgpo123)、GPO 的唯一标识符(括号中的位)以及 GPO 是当前的还是"已变形的"。此时可以获得有关 GPO 本身的一些基本信息,包括它链接到哪些 OU(如果有)。

用粉红色突出显示的位是一个设置,块侧面的缩进和小 ASCII"尾巴"是为了更容易看到它与上面的 GPO 相关联。顶部栏标识它是一个设置,以及它是什么类型的设置。在本例中,它是一个 MSI 包,被推送到计算机以安装 PuTTY。

用绿色突出显示的位是发现,顶部栏中的颜色是分类级别,使用与 Snaffler 相同的级别 - 绿色、黄色、红色和黑色。

发现的设置示例

在这个例子中,我们可以看到,由于域用户被添加到目标计算机上的 BUILTIN\Administrators,因此出现了一个发现。

发现的启动脚本设置

其中的脚本参数看起来像硬编码的密码。

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

Group3r :【GitHub传送门

相关推荐
Chockmans39 分钟前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
风控PM说3 小时前
入门第二课:业务催生风险,常见的业务风险有哪些?
安全
独守一片天19 小时前
HarmonyOS 6.1.0 Call Service 来电识别与安全通信怎么设计?
安全·华为·harmonyos
想你依然心痛20 小时前
嵌入式C代码规范:MISRA-C 2012核心规则解读——类型安全与未定义行为深度剖析
c语言·安全·代码规范
Elastic 中国社区官方博客21 小时前
跟踪资金流向:使用 ES|QL 和跨集群搜索追踪洗钱网络
大数据·人工智能·安全·elasticsearch·搜索引擎·金融·全文检索
IT新视界1 天前
数据要素安全流通服务
安全
微信开发api-视频号协议1 天前
Codex++安全边界探秘:从模型能力到风险防御
前端·安全·微信·企业微信
枝头玉1 天前
新160个CrackMe048-monkeycrackme1、049-THraw-crackme8、050-daxxor逆向分析
安全·逆向·crackme·reserve
维基框架1 天前
Claude Mythos Preview 发布后严重漏洞激增:安全还是营销?
人工智能·安全
技术不好的崎鸣同学1 天前
[MRCTF2020]PYWebsite 思路及解法
安全·web安全