ADCS攻击之探测域内证书服务

已于 2023-03-06 00:25:28 修改
阅读量530 收藏
点赞数
分类专栏: 内网渗透 文章标签: 内网渗透 ADCS攻击
于 2023-03-05 23:42:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adminxe/article/details/129353248
版权

注意:

1、靶场不成功,记得恢复快照时,统一连接下桥接,同步下时间,每台机器注意网关设置下,记得同步,同步完可以禁用或者去掉桥接网卡。

2、Rubeus获取TGT报错的时候,记得切回域管或者其他手法,添加一下加密形式

报错:KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED

解决方法

打开组策略,计算机配置\Windows 设置\安全设置\本地策略\安全选项,找到配置 Kerberos 允许的加密类型,将下面全部勾选即可,勾选后,重新启动就可以获取TGT了

3、Rubeus报错支持加密形式,使用新版Rebues 1.6.4 .

4、获取TGT的时候遇到的是KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED这种报错,有可能是时间不同步的原因,可重启环境重新测试。

靶场环境

 

1、
dc 192.168.11.11
adcs 192.168.11.12
pc 192.168.11.16
kali 192.168.11.6
​
2、
DC2012 191.168.149.133 Windows Server 2012 R2-域控
ADCS 192.168.149.135 Windows Server 2012 R2-AD证书服务器
WIN10 192.168.149.134 Windows 10-模拟办公网个人PC
kali 192.168.149.129 kali攻击机
 

判断是否存在域和adcs证书
 


ipconfig /all #查看ip配置详细信息

 

 
 

 

 


certutil -CA #显示注册策略CA
certutil -config - -ping #这个命令一般会弹框,所以一般不使用

 

 

域外:
 

判断是否存在域,通常域控的NetBIOS名称有关键字例如DC字样,fscan也能直接识别,域控也会通常开启53&88&389&636端口。
 

通过各种方法我们已经获得了一个域账号,查看是否有ADCS服务:
 


certipy find -u zhang@attack.cn -p 321.com -dc-ip 192.168.11.11 -dc-only -stdout


 

 

 

 

域外获取ADCSIP,使用ADExplorer连接DC的ldap:
 

 

当然ADCS存在页面http[:]//IP/certsrv/Default.asp,fscan能直接识别:
 

 

 


                

        

        

    




            

                    
            

    

      

        

            

              
                
                  Adminxe
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
内网渗透(八十五)之ADCS证书服务攻击

				
			

			

				

					把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
				

				

					05-28
					
					1107
					
				

			

		

		

			
				
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。

			
		

	



                

              
                



	

		

			

				
					
ADCS证书服务攻击

				
			

			

				

					谢公子的博客
				

				

					08-06
					
					4480
					
				

			

		

		

			
				
ADCS支持几种基于HTTP的通过管理员可以安装的其他AD CS服务器角色功能。这些基于http的证书注册接口都是易受攻击的NTLM中继攻击,因为没有启用NTLM中继保护,而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证,因此更安全的协议(如 Kerberos)无法使用。




http://10.211.55.4/certsrv/certfnsh.asp



漏洞复现

定位证书服务器机器


certutil -config - -ping





ntlmrela

			
		

	



                


  
              

                


	

		

			

				
					
AD CS证书服务中继攻击

				
			

			

				

					网络安全。
				

				

					03-05
					
					3864
					
				

			

		

		

			
				
0x1 简介
AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。
注:借图
0x2 环境信息
控(windows server 2016):192.168.3.129
辅控(windows server 2016):192.168.3.131(AD CS)
内主机(windows 10):192.168.3.171
攻击机(kali):192.168.3.158
搭建ADCS证书服务:https://mp.

			
		

	





	

		

			

				
					
ADCS攻击利用

				
			

			

				

					slash_HK的博客
				

				

					12-23
					
					4786
					
				

			

		

		

			
				
一万字呕心沥血,全站最详细ADCS攻击利用方法及细节复现,包括服务器配置等,细节满满,支持走一波,也欢迎各位师傅斧正。

			
		

	



		

			
		



	

		

			

				
					
渗透测试 | 详解ADCS证书服务攻击手法

				
			

			

				

					MachineGunJoe666
				

				

					06-13
					
					589
					
				

			

		

		

			
				
该漏洞产生的主要原因是ADCS服务器在处理计算机模板证书时是通过机器的dNSHostName属性来辨别用户的,而普通用户即有权限修改它所创建的机器账户dNSHostName属性,因此恶意攻击者可以创建一个机器账户,然后修改它的dNSHostName属性为控的dNSHostName,然后去请求计算机模板的证书。这些规则可以是简单的,也可以是复杂的,也可以适用于所有用户或特定的用户组。在这种层次结构下,根CA给子从属CA颁发的证书认证,子从属CA给下面的应用颁发和管理证书,根CA不直接给应用颁发证书

			
		

	





	

		

			

				
					
ADCS Class.zip_ADCS class_ADCS labview_OBD诊断_volkswagen_汽车CAN

				
			

			

				

					07-14
				

			

		

		

			
				
该源代码是基于车载平台上的通讯诊断协议, 能够利用LabVIEW, LabWindows?/CVI, Visual C/C++ 6.0中基于CAN的汽车诊断 兼容Windows 7/Vista/XP/2000和LabVIEW Real-Time 诊断协议:CAN (ISO 15765, OBD-II)的KWP2000 ...

			
		

	





	

		

			

				
					
Interfacing to High Speed ADCs via SPI

				
			

			

				

					07-31
				

			

		

		

			
				
Interfacing to High Speed ADCs via SPI

			
		

	





	

		

			

				
					
3ADCs_DMA.rar

				
			

			

				

					12-24
				

			

		

		

			
				
标题中的“3ADCs_DMA.rar”表明这是一份与微控制器(Microcontroller Unit, MCU)中的模拟数字转换器(Analog-to-Digital Converter, ADC)有关的资源,特别是关于使用直接存储器访问(Direct Memory Access, DMA)...

			
		

	





	

		

			

				
					
adcs7476.zip

					
最新发布

				
			

			

				

					01-12
				

			

		

		

			
				
在现代电子设备中,模拟数字转换器(ADC)是不可或缺的关键组件之一,它负责将连续的模拟信号转化为离散的数字信号,使得计算机能够处理这些信号。本文将深入探讨一款名为ADCS7476的高性能模拟数字转换器,旨在为...

			
		

	





	

		

			

				
					
ADCS EID Reader-crx插件

				
			

			

				

					04-02
				

			

		

		

			
				
语言:English (United States) 通过与控制台应用程序进行通信来在Google Chrome浏览器中读取阿联酋航空ID 开发此扩展程序是为了与控制台应用程序进行通信。 ... 因此,在Web应用程序中几乎是不可能的。...

			
		

	





	

		

			

				
					
ADCS攻击之权限维持

				
			

			

				

					Adminxe的博客
				

				

					03-05
					
					211
					
				

			

		

		

			
				
CSDN文章自动迁移老文章这篇文章在社区看的,自己没有操作,就直接复制过来。    制作伪造证书
    使用ForgeCert,参考:https://github.com/GhostPack/ForgeCert
    P12和PFX使用方法是一致的
    CaCertPassword:导出证书时设置的密码 NewCertPassword:伪造证书添加的密码
    ForgeCert.exe --CaCertPath cert.pfx --CaCertPassword "Wsx123." --Subj

			
		

	





	

		

			

				
					
ADCS知识点全收录! 如何利用证书服务器对控进行多角度攻击(上)

				
			

			

				

					喜欢Python编程的程序员柚柚呀
				

				

					08-16
					
					363
					
				

			

		

		

			
				
(Public Key Infrastructure,简称PKI)是一组由硬件、软件、参与者、管理者与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销。

			
		

	





	

		

			

				
					
AD CS证书攻击与防御:ESC1

				
			

			

				

					ATpiu的博客
				

				

					11-05
					
					537
					
				

			

		

		

			
				
针对内AD CS攻击攻击手法主要是利用证书模版配置、证书模版访问权限配置,PKI访问权限配置和CA访问权限配置错误,导致的windows内权限提升或持久化。

			
		

	





	

		

			

				
					
终于有人把渗透之ADCS证书攻击讲透了

				
			

			

				

					weixin_65550121的博客
				

				

					12-09
					
					1569
					
				

			

		

		

			
				
PKI是一个术语,有些地方会采用中文的表述——公钥基本结构,用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案,这套解决方案里面需要有证书颁发机构,有证书发布,证书撤掉等功能。

			
		

	





	

		

			

				
					
ADCS在内网渗透中的应用

				
			

			

				

					hackzkaq的博客
				

				

					11-07
					
					213
					
				

			

		

		

			
				
在打攻防演练的时候有时候运气比较好的话会碰到部署了证书服务(AD CS)的内网环境,由于证书服务发布的部分证书可用于Kerberos认证并且在返回的PAC里面能拿到NTLM Hash,由此我们可以进行以下类型的内网攻击尝试身份认证:当我们拿到目标主机的权限后,我们可以在本地检索是否存在相关的证书并用该证书进行内身份认证权限维持:当我们拿到用户的凭据后,我们可以申请一个证书,由于证书可用于Kerberos认证,所以即便后期用户更改密码,只有证书在手就可以随时拿到NTLM Hash。

			
		

	





	

		

			

				
					
最新靶场场景 Active Directory 权限提升漏洞(CVE-2022-26923)

				
			

			

				

					ZetaByte的博客
				

				

					05-29
					
					520
					
				

			

		

		

			
				
近日,Active Directory 服务组件被爆出存在特权提升漏洞,蛇矛实验室率先构建出了完整的靶场复现和利用环境,目标环境是基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现工作。

			
		

	





	

		

			

				
					
ADCS攻击证书模板配置错误 ESC1

				
			

			

				

					Adminxe的博客
				

				

					03-05
					
					846
					
				

			

		

		

			
				
表示允许 Active Directory 中任何经过身份验证的用户请求基于此证书模板生成的新证书。表示将基于此证书模板生成的证书可用于对 Active Directory 中的计算机进行身份验证。表示基于此证书模板申请新证书的用户可以为其他用户申请证书,即任何用户,包括管理员用户。注:将生成的cert.pem先保存到txt,然后重命名为cert.pem。pem转换pfx证书,直接回车,不需要输入密码,申请TGT票据。右键复制工作站身份认证模板,做一些修改。认证后的用户/用户随便勾一个就行了。

			
		

	





	

		

			

				
					
深入分析内ntlm relay to adcs服务的利用(含wireshark抓包分析)

				
			

			

				

					m0_71746299的博客
				

				

					01-27
					
					278
					
				

			

		

		

			
				
前言
2021年中旬,specterops发布了一项针对证书服务(adcs)的利用白皮书,文档中提到了19种对adcs服务的利用。本篇主要是分析文中提出的ntlm
relay to adcs窃取证书攻击流程,原理和抓包分析。
相关内容
ADCS介绍
Active Directory证书服务(Active Directory Certificate
Services,下文简称ADCS)可以向用户,机构和服务颁发证书,收到证书的个体可以使用证书进行内的身份认证,本篇中要利用的是ADCS配置的WEB证书请求

			
		

	





	

		

			

				
					
自动颁发证书 AD策略

				
			

			

				

					m0_65771635的博客
				

				

					11-10
					
					9201
					
				

			

		

		

			
				
所有用户的IE浏览器设置为 "https://www.chinaskills.com"计算机-windows设置-安全设置-Public  key。用户能够使用[username]@csk.cn 进行登陆。新建一个名为"CSK"的OU     OU-组织单元的缩写。除manager组 和IT组 所有普通用户禁止使用cmd。进入证书管理器  内所有计算机自动颁发一张计算机证书。除manager 和 IT组 所有用户隐藏C盘。允许计算机证书导出的时候  把密钥同时导出。然后去inside试一下。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
Adminxe

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值