内网渗透 -- 持久化之黄金证书攻击

原创 已于 2024-12-29 22:23:50 修改 · 10w+ 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全

于 2024-12-01 00:16:27 首次发布

0x00 背景

最近玩了一个有很有意思的攻击技术,利用黄金证书可以伪造域内任意用户的凭证来pth等操作。

0x01 实践

1)以ADCS ESC11 漏洞为例,利用NTLM Relay,让CA服务器向攻击者控制的任意服务器发起强制认证,再将请求Relay到另一台CA服务器的RPC端点,申请发起强制认证的CA服务器的机器账户的证书。

2)使用获取到的机器账户证书进行Kerberos认证,获取CA机器账户的Hash。

3)通过CA机器账户构造高权限账户(例如domain admin)的白银票据。(该白银票可以用来登录指定那台CA)

4)使用高权限账户白银票据横向到CA命令执行。

5)登录CA服务器导出ADCS证书的私钥。(最简单最好用的方式,运行框输入certsrv.msc)

此处以用户证书为例,运行框输入certmgr.msc



certmgr.msc:

这是个人证书管理控制台,主要用于管理当前用户的证书。通过此控制台,用户可以查看、导入、导出和删除个人证书。它主要用于用户级别的证书管理,适合普通用户或应用程序的证书管理。

certlm.msc:

这是计算机证书管理控制台,用于管理本地计算机的证书。与 certmgr.msc 不同,certlm.msc 管理的是系统级别的证书,包括用于服务和应用程序的证书。管理员可以通过此控制台查看和管理计算机上的所有证书。

certsrv.msc

这是证书颁发机构(CA)管理控制台。它用于管理 Windows Server 上的证书颁发服务。通过此控制台,管理员可以管理证书请求、颁发和撤销证书,配置证书模板,以及监控证书颁发机构的状态。

这里需要注意:

*.导出私钥

*.选择导出密码时不输入让导出密码为空 (前面试过设定导出密码但是后面导入时失败,有师傅成功可以和我交流下)

*.也可以使用 SharpDPAPI.exe 在CA服务器提取,注入内存执行,但是这个工具不免杀,SEP这种普通的杀软都会隔离。

SharpDPAPI.exe certificates /machine

提取的私钥和证书可以写入扩展名为 .pem 的文件中。执行以下命令可以将证书转换为可用格式,如 .pfx/.p12 允许用于使用 Rubeus 进行身份验证。

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

但是后面 linux版 certipy 不支持导入的证书私钥带密码,windows 版 certify.exe 虽然支持但是我试验没导入成功带密码的私钥,windows版的 forgecert.exe GitHub - GhostPack/ForgeCert: "Golden" certificates (c# 需要自己编译) 虽然支持但是我试验也没导入成功。

所以我导出私钥没带密码。且用SharpDPAPI.exe生成的不带密码证书也没认证成功。只有gui手动导出的无密码CA认证成功了。

6)使用 certipy forge 和 certipy auth 连招获取 DC 机器账户Hash

certipy auth 依赖 upn、dn 和 crl 等参数。 

7) 使用 ticketer 利用DC机器账户Hash构造一张域管访问DC CIFS服务的白银票。

8) 白银票据 ptt 到DC (注意协议/工具等)

export KRB5CCNAME=xx.ccache

0x02 后记

It should be noted that the certificate must be created for an active user on the domain. Therefore it cannot be used for the “krbtgt” account. The forging certificate will have a validity period of 1 year and will be valid as long as the CA certificate is valid (typically 5 years). Except of domain user accounts, machine accounts could be used as well for domain persistence as techniques such as DCSync, Pass the Ticket and S4U2Self can be utilized.

0x03 reference

ADCS知识点全收录! 如何利用证书服务器对域控进行多角度攻击(上)

ADCS知识点全收录! 如何利用证书服务器对域控进行多角度攻击(中)

ADCS知识点全收录! 如何利用证书服务器对域控进行多角度攻击(下)

NetStar出品 | 一本关于“ADCS”最通俗的技术读物Part IV:ESC11-13

利用黄金证书劫持域控-腾讯云开发者社区-腾讯云

Golden Certificate – Penetration Testing Lab (腾讯云翻译的原文)

https://www.thehacker.recipes/ad/persistence/adcs/golden-certificate

新一代Kerberos攻击 钻石票据与蓝宝石票据 - mt0u - 博客园  (To read)

ADCS攻击系列【ESC1-8】详解
渗透之路,攻防之间皆学问
09-11 1060
ADCS(Active Directory Certificate Services),是微软提供的一套证书服务解决方案,用于实现公钥基础结构(PKI)的功能,包括证书的产生、管理、存储、分发和撤销等。ADCS能够与现有的Active Directory Domain Services(ADDS)服务结合,用于加密文件系统、数字签名以及身份验证等多种安全应用场景。在ADCS中,证书颁发机构(CA)扮演着核心角色,负责接收证书申请、验证申请者信息、颁发证书以及管理证书的吊销等。
红队内网攻防渗透内网渗透内网各种工具平台的使用
HACKONE的博客
04-10 1774
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
ADCS证书服务器攻击中看集权安全(上)
ZAWX_NETSTARSEC的博客
05-11 353
(2)当client发送身份信息给AS后,AS会先向活动目录AD请求,询问是否有此Client用户,如果有的话,就会取出它的 NTLM-Hash,并对 AS_REQ 请求中加密的时间戳进行解密,如果解密成功,则证明客户端提供的密码正确,如果时间戳在五分钟之内,则预认证成功。接着从-----BEGIN RSA PRIVATE KEY----------END CERTIFICATE-----复制出来,保存为ESC1.pem,然后利用openssl来转换为ESC1.pfx,无需设置密码。
内网渗透技巧大全
黑战士的博客
04-28 1913
对于内部帐户,SPN将自动进行注册。SPN扫描的主要好处是,SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向域控执行服务发现,SPN查询是Kerberos的票据行为一部分,因此比较难检测SPN扫描。参考2 :https://3gstudent.github.io/Office-Persistence-on-x64-operating-system。安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,WEB 网页密码等等,这样也可以得到管理员的很多信息。
万字讲解内网横向渗透vulnstack(二):红日靶场2实战全流程3(权限维持之黄金票据)
mooyuan的网络安全博客
12-13 881
本文通过红日靶场2的实战演练,详细解析了Kerberos认证协议流程及黄金票据攻击技术。Kerberos认证采用三方交互机制:客户端通过AS获取TGT,再向TGS申请ST,最终访问服务。黄金票据攻击的核心在于获取krbtgt账户的NTLM哈希和域SID后,伪造高权限TGT票据。实战中,攻击者利用mimikatz工具成功生成黄金票据并注入内存,实现了对域控资源的访问权限提升。值得注意的是,黄金票据仅对基于计算机名的SPN有效,而无法直接用于IP地址访问,这揭示了Kerberos认证对目标标识格式的严格要求。该
内网渗透测试:内网横向移动基础总结
全粘工程师
06-12 1111
Windows 7为跳板机用户名:douser密码:Dotest123Windows server 2008为域控(主机名:WIN-ENS2VR5TR3N)用户名:administrator密码:Liu78963攻击者已经获得了Windows7的权限,想要以Windows7作为跳板机进一步渗透内网的Windows server 2008,并且攻击者已经在跳板机上面通过socks代理等技术使自己可以访问到内网的Windows server 2008。
内网渗透系列:横向渗透方法小结
闵行小鱼塘
08-04 5027
本文学习并小结下横向渗透的方法
我所了解的内网渗透——内网渗透知识大总结
2401_84466316的博客
04-23 797
组策略使管理员能够管理Active Directory中的计算机和用户。组策略保存为组策略对象(GPO)攻击者可以滥用GPO,通过欺诈方式进一步自动化地传播恶意软件、实现持久化驻留目的恶意软件可以利用GPO穿越IDS/IPS等防火墙,最终访问到域内所有的系统。GPO的另一优点就是攻击过程期间并不需要目标系统在线,一旦离线状态下的目标系统重新登录到域中,恶意的GPO载荷就会被投递到目标系统。组策略默认情况下每90分钟(域控制器5分钟)可包括安全选项,注册表项。
手把手教你如何进行内网渗透:从零基础到实战突破
2401_84215240的博客
07-17 1103
近年来,内网安全已成为攻防对抗的核心战场。据统计,2024年全球因内网渗透导致的数据泄露事件同比增长67%,其中超过80%的攻击通过横向移动实现全域控制。本文基于最新攻防技术与实战案例,系统化拆解内网渗透全流程,并提供可落地的防御建议。
内网渗透大杀器:Cobalt Strike全栈攻防》
有什么问题,评论区开口,又问必答
03-02 1095
红队攻防本质 = 隐蔽性 × 持续性 × 杀伤链闭合↓单点突破 → 横向扩散 → 权限维持 → 数据渗出下期剧透基于Sigma规则的威胁狩猎内存马Dump与分析技术攻击者TTPs建模与溯源。
证书管理黄金法则:5步杜绝中间人攻击,守护ESP32 OTA通信安全
然而,未加密的OTA通信极易遭受**中间人攻击(MITM)**、固件篡改和窃听等安全威胁。尤其在公共网络中,攻击者可通过ARP欺骗或DNS劫持诱导设备连接恶意服务器。若缺乏证书验证机制,设备将无法辨别服务端真实性,...
web安全攻防渗透测试实战指南
weixin_67846882的博客
04-07 6199
1.Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8850
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
高压线防外破警示灯:电力安全与智能预警的守护者
ShenZhenDingYue的博客
12-19 829
高压输电线路防外破智能预警系统已成为现代电网安全防护的重要装备。该系统集雷达探测、AI识别、声光报警与远程通讯于一体,通过24小时主动监测线路通道内的机械入侵行为,实现风险分级预警。相比传统警示牌,其优势在于:主动交互式警示(爆闪灯+语音)、多传感器融合(雷达+激光+电场感应)降低误报率、实时数据上传形成闭环管理。典型应用场景包括施工区、交通跨越段及农林作业区。选购时需关注感应距离、供电续航、防护等级等关键指标。该系统正从单一设备向与无人机、卫星联动的综合防御体系发展,是电网安全从"人防&quot
安全通用要求之六安全管理制度
最新发布
木矞的博客
12-22 201
2)应核查是否具有安全管理制度的审定或论证记录,如果对制度做过修订,核查是否有修订版本的安全管理制度。应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。2)应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发,如正式发文、领导签署和单位盖章等。应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
加热激光雪深监测站守护冬季道路安全
pingao141378的博客
12-17 371
设备采用相位式激光测距技术,通过无线电波段频率调制激光束,精准捕捉往返雪面的相位延迟,测量误差仅 ±2%,分辨率达 1mm,能清晰捕捉从 0.05 米薄雪到 5 米厚雪的动态变化。而加热激光雪深监测站搭载 “主动加热 + 被动防霜” 双重防护体系,内置自动温控加热模块,当探头温度接近冰点时自动启动 15W 功耗加热,快速融化薄霜并预防结冰,配合 IP65 高防护等级外壳与纳米防霜涂层,即便在 100 高湿度环境中也能隔绝雨雪沙尘,实现 7×24 小时不间断监测,解决了低温停机的行业痛点。
mfc两个线程的创建、启动、安全结束实例
weixin_42350092的博客
12-21 304
启动/停止线程1的按钮、启动/停止线程2的按钮、启动/停止所有线程的按钮。两个线程可以独立运行,执行不同的任务,并且可以分别控制或同时控制,具有良好的扩展性和可维护性。
绿电直连系统安全防护技术:网络安全、运行安全与数据安全的全维度保障
xigedianli的博客
12-18 932
绿电直连系统面临网络安全、运行安全和数据安全三重风险,需构建全维度保障体系。网络安全需通过边界隔离、接入认证和威胁监测技术抵御攻击;运行安全依靠状态预警、协同控制和应急处置技术确保稳定供电;数据安全采用加密、脱敏和合规审计技术保护敏感信息。需结合技术防护与管理体系,实现风险联防联控,为绿电直连系统提供可靠安全保障,支撑低碳转型发展。
自动化安全监测新突破:新一代测斜仪技术升级与行业应用
weixin_43963569的博客
12-17 595
摘要: 测斜仪技术正经历从传统人工操作向自动化、高效化的升级转型。传统测斜仪存在数据不连续、维护繁琐等问题,而基于MEMS和物联网技术的新一代阵列式、节段式位移计解决了这些痛点。节段式位移计通过模块化拼接、实时监测和可重复使用等优势,适应煤矿、基坑、坝体等场景需求;阵列式位移计则提供高精度三维监测能力。两者共同推动安全监测行业向精准化、低成本化发展,满足现代工程对实时预警和长期稳定监测的核心需求,为地质灾害防治和工程安全提供技术支撑。未来,智能化与灵活化将是测斜仪发展的主要方向。
内网渗透--ICMP隧道
05-16
ICMP隧道是一种利用Internet控制消息协议(ICMP)的技术,将其他协议的数据包封装在ICMP数据包中,从而在不被检测的情况下在网络中传输数据。对于内网渗透而言,ICMP隧道可以用于将攻击者的数据从受害主机中转出,绕过防火墙和其他网络安全设备的检测和过滤。 ICMP隧道的实现需要两个端点:一个客户端和一个服务器端。客户端将要传输的数据封装在ICMP数据包中发送给服务器端,服务器端接收到ICMP数据包后解析其中的数据,然后将数据还原成原始数据包,再转发给目标主机。通过这种方式,攻击者可以在内网中传输各种类型的数据,包括命令和控制信息。 然而,ICMP隧道也有缺点。由于ICMP数据包通常被认为是网络的一部分,因此可能不会被网络安全设备视为可疑流量。然而,如果攻击者的网络流量被监测到,这种技术可能被检测出来,因此需要谨慎使用。此外,ICMP隧道还可能会导致网络延迟和丢包等问题,影响传输速度和数据完整性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值