LAPS

为了进一步保护本地管理员的凭证，本地管理员密码解决方案 (LAPS) 是一种用于管理域主机上的本地管理员凭证的解决方案。 本地管理员帐户可以是默认帐户或自定义帐户。部署 LAPS 后，密码是随机的、自动更改的，并且与其他帐户的密码不同。在域计算机上安装 LAPS 后，计算机会多出两个属性 ms-mcs-AdmPwnExpirationTime 和 ms-msc-AdmPwd，分别是过期时间和明文密码。 LAPS 通过域中的 GPO LAPS 进行管理。 域管理员对 ms-msc-AdmPwd 属性具有读取权限，但可以将读取权限委派给其他主体，如特定域用户或组。从系统管理员的角度，我们可以在 DC 上查看最新的LAPS密码。

枚举

在 RAVEN-MED 域中，LAPS 有为一些域主机 (其实也就 1 台 域主机) 安装。我们导入 powerview 脚本，执行以下命令：

Get-NetComputer -Filter "(ms-mcs-admpwdexpirationtime=*)" | select dnshostname

我们看到，RAVEN-MED 域中只有 mon01 被配置了 LAPS。

根据 Bloodhound，我们发现 PROD 域中的 harold 可以阅读 mon01 的 LAPS 密码。

 

读取明文密码

在确定了 prod\harold 可以阅读 mon01 的 LAPS 密码后，我们需要获得 harold 的上下文。根据之前的利用，我们可以很轻松地得到 harold 的凭证从而获得访问。

然后执行以下命令以读取明文密码：

Get-NetComputer -Filter "(ms-mcs-admpwd=*)" | Select dnshostname,ms-mcs-admpwd

新 LAPS 

就在 2023 年 4 月，微软发布了新一代 LAPS，而我们目前为止所讲的 LAPS 成为旧版本的了。新的 LAPS 有以下特征

1：Windows 原生集成。

2：支持 Azure AD

3：对本地 AD 的 LAPS 增加新的特性，例如下图所示