Active Directory 证书服务(一)
0x00 前言
specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书
https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf,关于Active Directory 证书服务的攻击第一次系统的进入我们的视野。
我在白皮书的基础上学习了Active Directory 证书服务相关的漏洞,作为学习成果,用两篇文章来介绍Active Directory 证书服务相关的基础以及相关的漏洞利用。截止这篇文章发布为止,有些漏洞利用相关的工具并没有发布出来,在文章里面我会用其他的方式来演示。
白皮书里面,最核心的点在于证书服务发布的部分证书可用于kerberos认证,并且在返回的PAC里面能拿到NTLM hash。这就是可以做很多事了,比如
1、拿到用户的凭据,能不能用用户的凭据来申请一个证书,这个证书用于kerberos认证,后面就算用户的密码改了,只要证书在手,就能用证书随时拿回NTLM。
2、能不能在用户的电脑上找到证书,以后拿着这个证书去做认证。
3、什么样的证书能用于kerberos认证。
4、拿到CA服务器证书之后,能不能给任何用户颁发证书,再用这个证书做认证,跟黄金票据一样。
5、CA服务器上有没有一些配置,能让一个用户申请别人的证书,然后拿到这个证书做认证。
6、CA证书申请有个界面是http的,http默认不开签名,我们能不能通过Ntlm_Relay将请求relay到这里,申请用以进行kerberos认证的证书。
关于这些,都会在这两篇文章里面讨论。在写完之后,由于内容过长,我将文章拆分为两篇,第一篇是介绍一些基础部分,以及三个相关的利用
1、窃取证书
2、通过凭据申请可用以Kerberos认证的证书
3、通过证书窃取用户凭据
在第二篇主要介绍一些其他的利用,包括
1、证书服务中的Ntlm_Relay
2、证书模板配置错误
3、黄金证书
3、PKI 设计缺陷
4、防御指南
整体的思路如下图
0x01 Active Directory 证书服务安装
在开始讲解证书服务之前,我们先装个证书服务,方便起见,直接在域控上安装就行。
下一步下一步比较简单。
0x02 Active Directory 证书服务概述
0x0201 企业 PKI
PKI是一个术语,有些地方会采用中文的表述——公钥基本结构,用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案,这套解决方案里面需要有证书颁发机构,有证书发布,证书撤掉等功能。
微软的Active Directory 证书服务(我们可以简称AD CS)就是对这套解决方案的实现。ADCS能够跟现有的ADDS服务进行结合,可以用以加密文件系统,数字签名,以及身份验证。下面详细介绍下AD CS中比较重要的的证书颁发机构以及证书模板。
0x0202 证书颁发机构
证书颁发机构 (CA) 接受证书申请,根据 CA 的策略验证申请者的信息,然后使用其私钥将其数字签名应用于证书。然后 CA 将证书颁发给证书的使用者。此外,CA 还负责吊销证书和发布证书吊销列表 (CRL)。
ADCS里面的CA分为企业CA和独立CA,最主要的区别在于企业CA与ADDS服务结合,他的信息存储在ADDS数据库里面(就是LDAP上)。企业CA也支持基于证书模板和自动注册证书,这也是我们比较关心的东西,如果没有特指,文章里面提到的CA默认就是企业CA。
举个例子,我们有个有个域名daiker.com
,如果要做https,我们就需要找证书颁发机构申请证书,比如说沃通CA。
我们也可以自己搭建一个证书颁发机构。
但是使用自建的证书发布服务之后,浏览器还是不信任我们证书,我们经常可以看到