Active Directory 05 - 初识 AD CS 证书服务

最新推荐文章于 2023-11-07 10:58:00 发布
最新推荐文章于 2023-11-07 10:58:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 网络安全 ActiveDirectory 文章标签: microsoft ActiveDirectory AD CS
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/heisejiuhuche/article/details/129224570
版权

写在最前

如果你是信息安全爱好者,如果你想考一些证书来提升自己的能力,那么欢迎大家来我的 Discord 频道 Northern Bay。邀请链接在这里:

https://discord.gg/9XvvuFq9Wb

我会提供备考过程中尽可能多的帮助,并分享学习和实践过程中的资源和心得,大家一起进步,一起 NB~

背景

Will Schroeder(@harmj0y) and Lee Christensen(@tifkin_)在 2021 年夏发布了 Certified Pre-Owned: Abusing Active Directory 白皮书,内容很多。文中解释了什么是 Active Directory 证书服务(Active Directory Certificate Service - AD CS),指出了 Active Directory 证书体系在企业中已经普遍应用,并列出了他们的研究成果,列举了诸多利用的途径,及防御的方式。

证书相较于现有的 AD 权限维持或者提权的方式,如增加管理员用户,修改用户密码,黄金、白银票据等,有更加隐秘,更加持久的优势。更加隐秘是因为证书利用相对于其他敏感操作,相对难以被探测和发现(不触及 LSASS 等);更加持久是因为证书的默认过期时间是 5 年,而且不会随着主体密码的改变而失效。

本篇是 AD 系列中,证书章节的开篇,先了解以下证书服务的概念和特性。之后,我会在本地 Lab 配置 AD CS 服务器,再进一步深入到证书服务的不当配置利用,以及最后,看是否能写一下证书服务不当配置的检测和规范。

Active Directory 证书服务

首先我们要了解什么是 Active Directory 证书服务(Active Directory Certificate Service - 以下简称 AD CS)。证书服务,用官方的解释说,是微软的 PKI 系统的实现,早些时候,多用于 Active Directory 内智能卡(smart card)的登录鉴权。发展到现在,已经成为了 AD 环境中各个主体的另外一种鉴权方式(如 Windows Hello For Business)。

这里的证书,指的是 X.509 格式的电子文档,可以被用于加密,信息签名,以及鉴权。在域环境中,这张证书就是将一个主体与其 Public/Private 密钥对绑定。那么,域控就可以使用这个主体的密钥,来决定是否给这个主体分发 TGT。

AD CS 概念一览

  • PKI (Public Key Infrastructure) - PKI 是一整套证书签发、管理的系统。主要包括 CA(Certificate Authority),RA(Registration Authority),Certificate Store,and Certificate database
  • Certificate Store - Windows 本地证书存储,请求到的证书将存储在 Certificate Store 中
  • AD CS(Active Directory Certificate Service)- 微软为 AD 环境打造的 PKI 系统,来管理域内的证书签发和鉴权
  • CA(Certificate Authority)- 签发证书的服务
  • Enterprise CA - 与域集成的 CA 系统(通常会被配置在域中单独的服务器上),包含证书签发、证书模板等服务
  • CSR(Certificate Signing Request)- 向 CA 系统发送的证书签发的请求
  • EKU(Extended/Enhanced Key Usage)- Object Identifiers(OIDs),规定了签发证书的用途(是用来加密文件,或者主体鉴权等)
  • SAN(Subject Alternative Name)- 可以为一张证书绑定多个身份信息;比如 HTTPS 证书中就可以绑定多个域名,而不需要为每个域名都单独申请一张证书
  • UPN(User Principal Name)- 域中的证书是与 UPN 绑定的(这张证书是张三的,用于张三同学的鉴权),同时鉴权的主体也是是通过 UPN 来确定的;如果黑客控制了 SAN,在特定情况下,也就能 impersonate 任意用户
  • Principal - 域中的主体,可以是用户,也可以是服务
  • Certificate Template - 证书模板;Enterprise CA 签发的证书都是根据模板来生成;模板包含这张证书的元信息,如签发规则,谁有权限使用这个模板,证书的有效期,证书主体是谁,证书主体如何定义等等;Enterprise CA 会根据这些元信息来决定是否可以签发证书,以及签发什么样的证书

证书鉴权的条件

域中使用证书鉴权,需要两个条件,PKINIT 扩展,以及 Extended Key Usage(EKU)必须规定这个证书是用来做用户鉴权。

Public Key Cryptography for Initial Authentication(PKINIT)扩展

微软为了能在域中使用证书,根据 RFC4556 实现了自己的一套在 Kerberos 初次鉴权当中使用基于非对称加密(Public/Private Key)的协议。

这里所说的初次鉴权(Iniital Authentication),还有点不太明白。证书鉴权是否比普通鉴权多一个步骤,就是要先向 AD CS 请求证书,然后使用该证书,请求 TGT,接下来的流程,就和之前这篇文章 Active Directory 02 - Windows Kerberos Authentication(Kerberos 协议鉴权)一致了。这里也抛出一个问题,继续挖掘,再来解答。

Extended Key Usage(EKU)设置该证书做鉴权使用

EKU 必须包含证书可以做鉴权的 OID。这也是后面证书利用的条件。

EKU 可以想象成一个规定。他规定了这张证书的用途。这个规定,以 OID 的形式出现,例如:1.3.6.1.5.5.7.3.2。完整的 OID 可以在这里查询。Will Shroeder 的这篇文章 指出,多个 EKU OID 都可以设置证书做鉴权使用,而不只是 Client Authentication OID

图片来自https://posts.specterops.io/certified-pre-owned-d95910965cd2

满足了这两项条件,域就可以使用 X.509 证书做鉴权。

证书鉴权流程

现在,我们来了解一下证书鉴权的整个流程是什么样子的。

图片来自https://posts.specterops.io/certified-pre-owned-d95910965cd2
步骤拆解:

  1. 主体 生成一对密钥,包含 Public/Private Key
  2. 主体Enterprise CA 发送包含 Public Key申请主体的名字(Subject),申请的 证书模板名称 等数据的证书签发请求(CSR - Certificate Signing Request);
  3. Enterprise CA 会做一系列校验:
    • CSR 中指定过的 主体 是否有权限申请域证书(is allowed to request certificate);
    • CSR 中指定过的 证书模板 是否存在(does template exist);
    • CSR 中指定过的 主体 是否有权限使用该 证书模板(is allowed to enroll in template);
  4. 如果上述校验都通过, Enterprise CA 将以 CSR 中指定的 证书模板 为蓝本,为该 主体 生成证书;Enterprise CA 用自己的 Private Key 为证书做签名,返回给该 主体
  5. 主体 将收到的证书存放在 Certificate Store 中供后续使用;

有了证书,该主体就可以使用证书向 Domain Controller 申请 TGT。剩下的流程,就和之前这篇文章 Active Directory 02 - Windows Kerberos Authentication(Kerberos 协议鉴权)一致。

总结

这篇文章简单讲述了一下域证书服务的基本概念。接下来,我会继续深入,在 Lab 中配置 AD CS 服务,通过实践的方式,带出更多的域证书相关的内容。

这包括自域证书白皮书 Certified Pre-Owned: Abusing Active Directory 发布以来,已经被发现的证书利用的漏洞(CVE-2022–26923),以及证书利用的其他手法(Shadow Credentials)。

参考链接

  • https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6
  • https://www.giac.org/paper/gsec/1448/implementing-pki/102699
  • https://www.tevora.com/blog/3-steps-implementing-public-key-infrastructure-pki-architecture/
  • https://posts.specterops.io/certified-pre-owned-d95910965cd2
  • https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4
  • https://cpl.thalesgroup.com/faq/public-key-infrastructure-pki/what-public-key-infrastructure-pki#:~:text=The%20Public%20key%20infrastructure%20(PKI,digital%20certificates%20and%20public%2Dkeys.
  • https://www.techtarget.com/searchsecurity/definition/PKI
  • https://posts.specterops.io/certificates-and-pwnage-and-patches-oh-my-8ae0f4304c1d
  • https://www.pkisolutions.com/object-identifiers-oid-in-pki/
  • https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-pkca/d0cf1763-3541-4008-a75f-a577fa5e8c5b
0pr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Active Directory 证书服务(一)
2201_75571291的博客
08-19 790
specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf,关于ActiveDirectory 证书服务的攻击第一次系统的进入我们的视野。我在白皮书的基础上学习了Active Directory 证书服务相关的漏洞,作为学习成果,用两篇文章来介绍Active Directory证书服务相关的基础以及相关的漏洞利用。
域渗透笔记-证书服务器(ADCS)安装
NoooEmotion的博客
02-02 2110
AD CS证书服务(SSL证书):可以部署企业根或独立根建立SSL加密通道,这是所有服务证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务证书均可以实现有保障的加密通道。
【Windows Server 2019】Active Directory Certificate Services 证书颁发机构的安装,配置和管理Ⅰ——AD CS的安装和配置
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
07-25 2767
博文主要介绍了Windows Server 2019的证书颁发机构的安装和配置方法。
AD CS攻击面剖析
2201_75571291的博客
08-24 360
LEE CHRISTENSEN和WILL SCHROEDER于今年9月30日在Black Hat会议上进行了主题为“CERTIFIED PRE-OWNED:SERVICES”的演讲,首次在公开国际会议中讨论了有关活动目录证书服务Active Directory Certificate Services,ADCS)的攻击面。AD CS是微软免费的证书管理服务,用于微软的 PKI 实施。企业可以使用ADCS通过将个人、设备或服务的身份绑定到相应的私钥来增强安全性。
terraform-provider-azuread:Azure Active Directory的Terraform提供程序
02-02
Azure Active Directory的Terraform Provider 注意:此提供程序的1.0版及更高版本需要Terraform 0.12或更高版本。 ( ) 使用范例 # Configure the Azure AD Provider provider "azuread" { version = "~> 1.0.0" ...
Active-Directory-Object-Picker:.NET的标准Active Directory对象选择器对话框
05-25
Active Directory对象选择器.NET的标准Active Directory对象选择器对话框 该项目基于由Armand du Plessis于2004年创建的 。 它已经更新,可以在64位Windows版本上使用。 现在,它适用于所有.Net框架版本,包括2.0、...
active-directory-node-source:AD节点源
02-14
"active-directory-node-source" 提供了一种将AD集成到Node.js应用程序中的方法,使得开发者能够利用Node.js的灵活性和强大功能来操作和管理AD环境。本文将深入探讨AD节点源的基本概念、工作原理以及实际应用。 一...
PowerShell-ActiveDirectory-AzureAD-O365:使用PowerShell脚本进行管理
03-29
PowerShell-ActiveDirectory-AzureAD-O365 使用PowerShell脚本进行管理:Active Directory,Azure AD,O365,Exchange Online。 01.将许可分配给用户帐户Office-365 使用要从csv文件导入的Office 365 PowerShell...
域安全|AD CS Relay—ESC8
weixin_42282189的博客
03-24 7481
作者: 0xYyy 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 国外安全研究人员在6月份已经披露过攻击手法—通过证书进行中继从而来达到攻击域控的目的。 https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/ 0x02 AD CS作用 1、证书颁发机构(CA):可以向用户、机构和服务颁发证书。 2、CA WEB注册:用户可以通过web浏览器申请证书。 3、联机响应程序.
域渗透笔记-ADCS 域提权-ESC4
NoooEmotion的博客
02-06 893
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
Windows Server Active Directory 证书服务(AD CS)安装与部署指南
热门推荐
有技术的机械师
07-08 2万+
本篇文章重点介绍一下Windows Server Active Directory 证书服务安装与部署。 从以下几个方面入手介绍:
域渗透笔记-ADCS 域提权-ESC1
NoooEmotion的博客
02-02 1547
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
AD CS证书服务中继攻击
网络安全。
03-05 3862
0x1 简介 AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。 注:借图 0x2 环境信息 域控(windows server 2016):192.168.3.129 辅控(windows server 2016):192.168.3.131(AD CS) 域内主机(windows 10):192.168.3.171 攻击机(kali):192.168.3.158 搭建ADCS证书服务:https://mp.
Active Directory的基本概念和功能
cike_y
06-19 4699
当管理一个只有五台计算机和五名员工的小型企业网络。在这样一个微型网络中,可以毫无问题地单独配置每台计算机。但如果某一天业务突然增长,现在有 157 台计算机和 320 个不同的用户,分布在四个不同的办公室。那么就很能单独管理,为了克服这些限制,我们就可以使用 Windows 域。Windows 域是一组受特定企业管理的用户和计算机。域背后的主要思想是将 Windows 计算机网络的公共组件的管理集中在一个名为Active Directory (AD)的存储库中。
AD CS证书服务
weixin_47347190的博客
07-10 2236
AD CS证书服务(SSL证书):可以部署企业根或独立根 建立SSL加密通道,这是所有服务证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务证书均可以实现有保障的加密通道。 本实验是主要企业根 实验环境:windows server 2012 r2 在额外域控制器 安装AD CS服务,在添加和角色功能,勾选AD 证书服务,如下图 直到下图这一步,勾选证书颁发机构web注册 接着下一步,就好了。直到安装完成 点击感叹号...
AD证书导入JDK
weixin_38424881的博客
07-12 1274
AD证书导入JDK 一、安装证书 服务器管理器找到仪表盘,点击添加角色和功能 点击下一步 再次点击下一步 下一步 选择Active Directory证书服务 点击添加功能,然后点击下一步 点击下一步 下一步 按照下图所示选择,默认证书颁发机构已经选择,点击选择证书颁发机构Web注册 选择添加功能,然后点击下一步 下一步 默认选择就可以,下一步 配置完成,点击安装按钮开始安装 安装中 点击关闭,完成安装 点击右上方通知按钮,选择配置目标服务器上的Active Director
ADCS在内网渗透中的应用
最新发布
hackzkaq的博客
11-07 209
在打攻防演练的时候有时候运气比较好的话会碰到部署了证书服务(AD CS)的内网环境,由于证书服务发布的部分证书可用于Kerberos认证并且在返回的PAC里面能拿到NTLM Hash,由此我们可以进行以下类型的内网攻击尝试身份认证:当我们拿到目标主机的权限后,我们可以在本地检索是否存在相关的证书并用该证书进行域内身份认证权限维持:当我们拿到用户的凭据后,我们可以申请一个证书,由于证书可用于Kerberos认证,所以即便后期用户更改密码,只有证书在手就可以随时拿到NTLM Hash。
active directory证书服务
06-10
Active Directory证书服务Active Directory Certificate Services,简称AD CS)是在Windows Server操作系统上运行的一种证书颁发机构(CA)工具,它提供了安全套接字层/传输层安全协议(SSL/TLS)证书,数字签名证书,以及其他类型的数字证书AD CS可用于颁发证书,管理证书,以及撤销证书。它可以帮助组织保护其网络,确保数据传输的机密性,完整性和真实性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值