设为首页收藏本站
切换到宽版

电脑疯子技术论坛|电脑极客社区

 找回密码
 注册

QQ登录

只需一步,快速开始

电脑疯子技术论坛|电脑极客社区»技术论坛 电脑疯子|资源分享 电脑教程分享 如何利用AD CS证书误配获取域控权限
返回列表 发新帖

[网络安全] 如何利用AD CS证书误配获取域控权限

[复制链接]
zhaorong 发表于 2021-12-6 15:27:01 | 显示全部楼层 |阅读模式
本帖最后由 zhaorong 于 2021-12-6 15:29 编辑

由于保密要求 无法展示真实场景数据,故在本地搭建域环境进行测试。
在深入了解如何通过证书服务攻击获取域控权限之前 我们先进入草莓时刻
了解一下什么是AD CS。

QQ截图20211206150747.png

Background

近日国外安全研究员Will Schroeder and Lee Christensen在Black Hat 2021中发表了一项重要的议题
他们花费数月研究 Active Directory Certificate Services (AD CS)并于6月17号发布《Certified Pre-
Owned》白皮书,详细分析了AD CS服务潜在的一些漏洞和手法。

QQ截图20211206150833.png

虽然默认情况下没有为 Active Directory 环境安装AD CS,但据据国外安全研究员的调查统计目前大部分企业
均部署了该服务,且许多AD CS的环境均存在误配,在这种情况下,攻击者可以利用没有正确配置的AD CS服
务进行用户凭证窃取、权限维持、域控提权及域内权限维持等。因此错误配置的证书服务实例导致域安全变得
脆弱 这就使得研究AD CS及其相关漏洞具有重要意义。

QQ截图20211206150917.png

了解完AD CS的工作原理后 接下来我们将通过真实环境的再模拟深度还原真实场景。

0x01 环境搭建

此段将重点阐述ADCS证书服务的搭建。

主要搭建步骤如下:

服务器管理器-->添加角色和功能向导-->勾选服务器角色-->勾选证书注册服务
和证书注册策略服务-->安装

1028.png

1026.png

小贴士

AD CS服务器的搭建

因为在实际攻击过程中,不能将认证请求Relay到自身,所以此处并不建议将AD CS服务搭建
在主域控制器上,在真实环境中,也很少有管理员会将证书服务装在域控上,故我方可以随
意挑选一台机器作为我们的AD CS服务器。

证书注册Web服务(CES)

证书注册 Web 服务是一种 Active Directory 证书服务 (AD CS) 角色服务它使用户和计算机能够
使用HTTPS协议来进行证书注册。主要有以下功能:请求、更新和安装颁发的证书、检索证书吊
销列表 (CRL)、下载根证书通过互联⽹或跨森林注册、为属于不受信任的 AD DS 域或未加⼊域
的计算机⾃动续订证书。

证书注册策略服务

该组件使⽤户能够获取证书注册策略信息。结合CES 它可以在⽤户设备未加⼊
域或⽆法连接到域控制器的场景中实现基于策略的证书注册。
当在企业服务器上部署完AD CS后。根据提示完成安装配置。

329.png

391.png

请注意,该电脑在机器上的登陆账号一定要属于Enterprise Admins组否则在安
装企业CA时出现无法选择的提示。

199.png

当选择完成后,后面步骤都选择“下一步”即可。

198.png

10.png

安装完成后,在浏览器中输入并访问http://<AD CS server >/certsrv当出
现登陆页面时 即为安装成功。

9.png

8.png

0x02 AD CS + NTLM Relay获取域控权限

当我们配置好AD CS服务,在浏览器中访问http://<AD CS server >/certsrv 时将出
现认证界面此认证界面为NTLM认证)由于该认证未配置NTLM中继保护 我们可以配
合NTLM Relay获取高权限机器:

7.png

AD CS通过管理员安装的其他AD CS服务器角色支持几种基于HTTP的注册方法例如上述提到
的证书注册Web服务(CES)证书注册策略服务等。
这些基于HTTP的证书注册接口都是易受NTLM Relay攻击 使得攻击者可以仿冒任何通
过NTLM认证的AD账号在仿冒受害者帐户时,攻击者可以访问这些Web界面并根据用
户或计算机证书模板请求客户端身份验证证书。

01 实验环境

6.png

02 工具安装

最新的Impacket工具包已经支持AD CS的NTLM Relay攻击。

5.png

当上述操作完成后,我们就可以在Kali攻击机设置NTLM中继通过已发现的漏洞让域控向
攻击中转机发起验证,将传入的身份验证从Kali转发到AD CS服务器进行身份验证。

4.png

此时,NTLM中继已准备就绪,正在等待Kali传入身份验证当该部分数据导出
之后就可以强制DC-01向NTLM中继进行身份验证。
特别提示:当使用了基于MS-EFSRPC的Petitpotam无法成功利用
也可以使用传统的Printerbug。

3.png

当Kali收到票证 即可用于身份验证。

2.png

拥有了这个票证我们可以用来请求域间票证授予票证(TGT)。

1.png

0.png

00.png

在成功获取票证后,使用DCSync导出了所有的Hash 即可控制域内所有的机器根据信息搜集阶
段搜集的信息定位到靶标机,并成功登陆。如图所示使用DCSync导出krbtgt账号Hash。

000.png

0x03 Conclusion

上述内容详细介绍了AD CS服务的搭建方法 以及配合NTLM Relay 服务获取
域控权限简单总结一下本次攻防对抗的渗透流程:

通过Web打点进入内网 通过资产探测发现存在域环境。
尝试SPN服务扫描 获取部分可进行Kerberoasting的高权限账号 但是爆破无果。
域内提权历史漏洞已修补。
通过定位证书服务器 发现其开放证书注册Web服务 通过上述步骤成功获取TGT票据。
通过域内信息聚合定位到靶标 使用域管Hash登录该服务器 结束渗透。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|VIP|电脑疯子技术论坛 ( Computer madman team )

GMT+8, 2025-3-14 04:27

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表