如何使用modifyCertTemplate实现ADCS证书模版修改和ACL枚举

2022年5月8日14:10:57评论34 views字数 2751阅读9分10秒阅读模式

关于modifyCertTemplate

modifyCertTemplate是一款针对活动目录证书服务（ADCS）的安全研究工具，该工具旨在帮助广大研究人员修改ADCS证书模版，以便创造出存在安全问题的证书模版并以此来实现权限提升。实现提权后，研究人员还可以将模版重制为之前的状态。

该工具适用于针对WriteProperty权限攻击的研究场景，但也适用于其他的权限安全研究场景。

在该工具的帮助下，广大研究人员可以轻松查询模版的ACL，并使用属性GUID交叉引用相应的ACE信息，以确定可修改的属性。

工具下载

该工具基于Python开发，因此广大研究人员首先需要在本地设备上安装并配置好Python 3环境。

接下来，我们可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/fortalice/modifyCertTemplate.git

工具使用

usage: modifyCertTemplate.py [-h] -template template name [-property property name] [-value new value] [-get-acl] [-dn distinguished name] [-raw] [-add flag name] [-debug]
                             [-hashes LMHASH:NTHASH] [-no-pass] [-k] [-aesKey hex key] [-dc-ip ip address] [-ldaps]
                             target


Modify the attributes of an Active Directory certificate template


positional arguments:
  target                [[domain/]username[:password]


optional arguments:
  -h, --help             显示帮助信息和退出
  -template template name
                       目标证书模版名称
  -property property name
                        目标模版属性名称
  -value new value       设置目标模版属性值
  -get-acl               输出证书的ACE
  -dn distinguished name
                        显式设置证书模板的名称
  -raw                  输出元证书模版属性
  -add flag name        向一个属性添加标记，并维持现有选项标记
  -debug               开启调试输出模式


authentication:
  -hashes LMHASH:NTHASH
                        NTLM哈希,格式为LMHASH:NTHASH
  -no-pass              不使用密码
  -k                   使用Kerberos认证
  -aesKey hex key       Kerberos认证所需的AES密钥(128或256位)


connection:
  -dc-ip ip address     域控制器的IP地址
  -ldaps                使用LDAPS

工具使用

查询模版或属性值

查询一个证书模版（所有属性）：

python3 modifyCertTemplate.py -template KerberosAuthentication ez.lab/administrator:pass

查询目标证书模版的单个属性：

python3 modifyCertTemplate.py -template KerberosAuthentication -property msPKI-Certificate-Name-Flag ez.lab/administrator:pass

查询所有模版属性的值：

python3 modifyCertTemplate.py -template KerberosAuthentication -raw ez.lab/administrator:pass

查询ACL信息

查询证书模版的ACL：

python3 modifyCertTemplate.py -template KerberosAuthentication -get-acl ez.lab/administrator:pass

通过提供对象的名称来查询任何对象的ACL：

python3 modifyCertTemplate.py -dn "CN=ws1,CN=computers,DC=ez,DC=lab" -get-acl ez.lab/administrator:pass

修改模版

向模版的msPKI-Certificate-Name-Flag属性添加ENROLLEE_SUPPLIES_SUBJECT标记：

python3 modifyCertTemplate.py -template KerberosAuthentication -add enrollee_supplies_subject -property msPKI-Certificate-Name-Flag ez.lab/administrator:pass

更新模版属性的值（non-list属性）：

python3 modifyCertTemplate.py -template KerberosAuthentication -property msPKI-Certificate-Name-Flag -value -150994944 ez.lab/administrator:pass

向“pKIExtendedKeyUsage”属性添加一个EKU：

python3 modifyCertTemplate.py -template KerberosAuthentication -add "client authentication" -property pKIExtendedKeyUsage ez.lab/administrator:pass

更新一个列表格式的属性（例如：显式地设置pKIExtendedKeyUsage的值）：

python3 modifyCertTemplate.py -template KerberosAuthentication -value "'1.3.6.1.5.5.7.3.4', '1.3.6.1.5.5.7.3.2'" -property pKIExtendedKeyUsage ez.lab/administrator:pass

项目地址

https://github.com/fortalice/modifyCertTemplate

参考资料

https://www.fortalicesolutions.com/posts/adcs-playing-with-esc4

https://github.com/ShutdownRepo/pywhisker

https://github.com/zer1t0/certi

https://github.com/FuzzySecurity/StandIn

如何使用modifyCertTemplate实现ADCS证书模版修改和ACL枚举

精彩推荐

原文始发于微信公众号（FreeBuf）：如何使用modifyCertTemplate实现ADCS证书模版修改和ACL枚举

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

如何使用modifyCertTemplate实现ADCS证书模版修改和ACL枚举

关于modifyCertTemplate

工具下载

工具使用

工具使用

查询模版或属性值

查询ACL信息

修改模版

参考资料

浅谈运用人工智能(AI) 协助战场环境情报整备

美国CISA紧急续约CVE项目，确保漏洞披露机制不中断

惊！俄罗斯APT黑客竟借对手基础设施搞间谍活动

面向未来，老美十大牛逼网络安全公司

加拿大新成立联合作战情报中心（2025年）

使用OpenPGP保护电子邮件

Windows 下Git Bash的目录转换

冻结资金14.26亿元！跨境赌博帝国的崩塌与反思

基于电子取证的自修改代码分析与逆向工程应用

美军太空战蓝图首曝光：披露卫星杀手锏与护星秘术（附原文下载）

发表评论

在线咨询

微信