vendredi 17 août 2018

Dissimulation d'une configuration de GPO via altération des fichiers ADMX (Mise à jour)

Bonjour à tous,

Dans un précédent article (Dissimulation d'une configuration de GPO via altération des fichiers ADMX), j'avais montré comment modifier les fichiers ADMX pour pousser des paramètres dans le registre via GPO en dissimulant la configuration.

J'avais indiqué une limitation concernant les données que l'on pouvait pousser via cette méthode (uniquement une valeur décimale).

J'ai voulu recreuser un peu le sujet, j'ai d'abord regardé dans le xsd (Group Policy ADMX Schema files) et j'ai fini par parcourir la doc MS (RTFM quoi) : PolicyDefinitions schema


Dans cette doc, on retrouve notamment l'information suivante : string (in type: Value)

La partie intéressante concerne les parents possibles (disabledValue et enabledValue).

On n'est donc finalement pas limité par une valeur décimale, on peut aussi pousser du texte sur un paramètre "booléen".





Reprenons l'exemple que j'avais utilisé dans le précédent article, Activation ou désactivation du lancement de ServerManager à la connexion.

Voici le fichier ServerManager.admx par défaut.



Modifions-le avec quelque chose de plus intéressant, une clé de Run par exemple.


On peut maintenant créer notre GPO.



On lie la GPO, on force l'application et voilà.



Un petit RSOP pour voir que la configuration est bien dissimulée.




autre exemple, backdoor utilman.exe



Le résultat





Je ne vais pas aller plus loin, je pense que vous avez saisi le truc.

De quoi s'amuser un peu avec la Blue Team quand on a la main sur le domaine...

Aucun commentaire:

Enregistrer un commentaire