ESC4 AD CS配置错误漏洞利用实战——Active Directory渗透测试

ESC4 AD CS配置错误漏洞利用——Active Directory渗透测试笔记

摘要
今天我在学习如何利用ADCS（Active Directory证书服务）中的漏洞时，对ESC4这种Active Directory中的配置错误产生了浓厚兴趣。本文将作为学习笔记，详细讨论这种ADCS配置错误（ESC4）的利用方法。

ADCS（Active Directory证书服务）

Active Directory证书服务是Windows Server提供的众多服务之一，允许组织创建、管理和分发数字证书。这些数字证书用于各种安全目的，如身份验证、加密和数字签名。AD CS是微软公钥基础设施(PKI)的关键组件。详细信息可参考www.1kosmos.com

什么是ESC4

ESC4是Will Schroeder和Lee Christensen发现的Active Directory证书服务(AD CS)滥用漏洞之一。它指的是AD CS中证书模板访问权限配置不当，允许攻击者修改证书模板并用于权限提升或接管域控。

实验环境搭建

1. 使用WIN + R打开证书模板控制台，输入certtmpl.msc
2. 右键用户模板并选择复制
3. 在常规菜单中命名新模板（例如"ESC4-Secure"）
4. 点击主题菜单，勾选请求中的supply部分
5. 在安全菜单中为Authenticated Users组设置完全控制权限并应用
6. 完成证书模板创建后，运行certsrv.msc启用证书
7. 点击操作菜单 > 新建 > 要颁发的证书模板
8. 选择我们创建的证书并确认

至此你已成功在ADCS上配置了ESC4漏洞环境，接下来进入利用阶段。你需要使用Certipy工具（可通过GitHub仓库或Linux操作系统现有包安装）。

漏洞利用

在执行利用前，你需要拥有1个已获取的AD访问账户。使用以下命令识别ESC4漏洞：

sudo certipy find -vulnerable -hide-admins -u jake.doe@wtbank.local -p iloveyou -dc-ip 10.10.10.10 -stdout -enabled

输出结果显示Authenticated Users组拥有过高权限，这表明存在ESC4配置错误，我们可以利用它！

利用存在配置错误的模板发起请求

从图中可以看到我们已经获取了管理员的NTLM哈希，可以通过evil-winrm、samba或DC上的服务进行登录。

以上就是全部内容，如果解释有误请在评论区指正，您的批评建议对所有学习的朋友都非常宝贵，谢谢。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码