ADCS攻击指北：权限提升技术详解<\/h1>

背景知识<\/h2>

Active Directory证书服务(AD CS)是Windows Server提供的公钥基础设施(PKI)功能，支持域内身份验证和其他安全功能（如文件加密、电子邮件加密和网络流量加密）。AD CS可以创建、验证和撤销公钥证书。<\/p>

证书申请流程：<\/p>

客户端生成密钥对<\/li>
客户端发送证书签名请求(CSR)给企业CA服务器<\/li>
CA检查CSR内容，决定是否颁发证书<\/li>

CA批准后，使用CA私钥签名并颁发证书<\/li> <\/ol>

关键术语：<\/p>

PKI：公钥基础设施，实现证书的产生、管理、存储、分发和撤销<\/li>

PKINIT：初始认证的公钥加密技术，可在Kerberos认证的初始阶段使用<\/li> <\/ul>

ESC1攻击<\/h2>

配置要求<\/h3>

有权限获取证书<\/li>
能够登记为客户端身份验证或智能卡登录<\/li>

CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT开启<\/li> <\/ol>

配置步骤<\/h3>

打开证书颁发机构<\/li>
在证书模板中右键选择"管理"<\/li>

复制现有模板并修改：

常规：修改模板名称<\/li>
使用者名称：选择"在请求中提供"<\/li>
扩展的应用策略：包含客户端身份验证\/智能卡验证<\/li>
安全：添加Authenticated Users或Domain Users组的注册权限<\/li> <\/ul> <\/li>

在证书颁发机构中发布模板<\/li> <\/ol>

利用方法<\/h3>

使用Certipy工具：<\/p>

certipy find -u user@domain -p password -dc-ip DC_IP
<\/span><\/span>certipy req -u user@domain -p password -dc-ip DC_IP -ca CA_NAME -template VULN_TEMPLATE -upn administrator@domain
<\/span><\/span>certipy auth -pfx administrator.pfx -dc-ip DC_IP
<\/span><\/span><\/code><\/pre>ESC2攻击<\/h2>
配置要求<\/h3>
与ESC1相同，但扩展中设置"Any Purpose"类型的EKU<\/p>
利用方法<\/h3>

申请Any Purpose证书<\/li>
使用该证书申请高权限证书<\/li>
获取高权限账户的NTLM hash<\/li>
<\/ol>
ESC3攻击<\/h2>
配置1<\/h3>

扩展中设置"证书申请代理"的EKU<\/li>
<\/ul>
配置2<\/h3>

修改发布要求<\/li>
<\/ul>
利用方法<\/h3>
配置1与ESC2类似，配置2需要使用certify.exe工具<\/p>
ESC4攻击<\/h2>
配置要求<\/h3>

安全组默认完全控制，拥有写入权限<\/li>
工作站身份认证模板<\/li>
<\/ul>
利用方法<\/h3>

使用Certipy修改模板权限<\/li>
申请修改后的模板<\/li>
使用证书进行权限提升<\/li>
恢复原始模板权限<\/li>
<\/ol>
ESC5攻击<\/h2>
前提条件<\/h3>

域之间存在信任关系<\/li>
各域都搭建了AD CS服务器<\/li>
<\/ul>
利用方法<\/h3>

使用LOCAL SYSTEM权限添加ESC1脆弱证书模板<\/li>
利用活动目录同步特性将模板发布到林根域<\/li>
使用脆弱模板申请企业管理员证书<\/li>
<\/ol>
ESC6攻击<\/h2>
配置要求<\/h3>

企业CA授予低权限用户请求权限(默认)<\/li>
模板中CA管理员审批未启用(默认)<\/li>
模板中不需要授权的签名(默认)<\/li>
CA设置了EDITF_ATTRIBUTESUBJECTALTNAME2标志<\/li>
<\/ol>
利用方法<\/h3>
与ESC1相同，但可以选择任意带有客户端身份认证的模板<\/p>
关闭EDITF_ATTRIBUTESUBJECTALTNAME2：<\/p>
certipy ca -u user@domain -p password -dc-ip DC_IP -ca CA_NAME -disable-editf-attributesubjectaltname2
<\/span><\/span><\/code><\/pre>ESC7攻击<\/h2>
配置要求<\/h3>
用户或所属组拥有管理CA权限（如Domain Users、Authenticated Users）<\/p>
利用方法<\/h3>

给用户添加管理证书权限<\/li>
查看并启动SubCA模板（如未启动）<\/li>
请求SubCA模板（记录请求ID）<\/li>
使用issue-request发出证书请求<\/li>
检索已颁发的证书<\/li>
<\/ol>
ESC8攻击<\/h2>
利用方法<\/h3>

发现ADCS网页认证地址<\/li>
使用ntlmrelayx.py将CA设置为中继目标<\/li>
使用printerbug、PetitPotam或DFSCoerce强制认证<\/li>
获取base64格式证书<\/li>
使用gettgtpkinit.py申请票据<\/li>
<\/ol>
ESC9攻击<\/h2>
配置要求<\/h3>

证书模板使用者名称选择UPN<\/li>
设置msPKI-Enrollment-Flag为524288<\/li>
设置用户ACL<\/li>
<\/ol>
利用方法<\/h3>

设置影子账户获取hash<\/li>
修改test账户UPN为administrator<\/li>
申请证书<\/li>
恢复test账户UPN<\/li>
使用证书进行认证<\/li>
<\/ol>
ESC10攻击<\/h2>
场景1<\/h3>

StrongCertificateBindingEnforcement设置为0<\/li>
利用方法与ESC9相同，但可随意选择支持客户端身份验证的模板<\/li>
<\/ul>
场景2<\/h3>

设置注册表CertificateMappingMethods值为4(UPN)<\/li>
修改用户UPN<\/li>
申请证书<\/li>
恢复UPN<\/li>
使用证书请求LDAP并设置RBCD<\/li>
<\/ol>
ESC11攻击<\/h2>
配置要求<\/h3>
域控上关闭强制加密<\/p>
利用方法<\/h3>
使用ntlmrelay进行中继利用，配合打印机或PetitPotam触发<\/p>
ESC13攻击<\/h2>
配置要求<\/h3>

创建通用组（组内无成员）<\/li>
创建普通用户<\/li>
配置证书模板：

使用者名称选择UPN<\/li>
添加新颁发策略<\/li>
设置组权限<\/li>
<\/ul>
<\/li>
设置msDS-OIDToGroupLink属性<\/li>
<\/ol>
利用方法<\/h3>

申请证书<\/li>
获取票据<\/li>
导入票据导出hash<\/li>
<\/ol>
ESC15攻击<\/h2>
配置要求<\/h3>

用户注册权限<\/li>
schema版本为1(默认)<\/li>
subjectName为请求中提供(默认)<\/li>
<\/ol>
利用方法<\/h3>

修改Web Server模板添加注册权限<\/li>
添加客户端认证<\/li>
使用LDAP方式认证（不支持Kerberos）<\/li>
<\/ol>
防御建议<\/h2>

限制证书模板权限<\/li>
监控证书申请活动<\/li>
及时安装安全补丁<\/li>
限制CA管理权限<\/li>
启用强证书绑定<\/li>
定期审计AD CS配置<\/li>
<\/ol>
以上攻击技术展示了AD CS环境中多种权限提升路径，管理员应全面评估证书模板配置和权限分配，以降低安全风险。<\/p>

ADCS攻击指北：权限提升技术详解<\/h1>

ESC1攻击<\/h2>

ESC2攻击<\/h2>

配置要求<\/h3> 与ESC1相同，但扩展中设置"Any Purpose"类型的EKU<\/p>

ESC3攻击<\/h2>

利用方法<\/h3> 配置1与ESC2类似，配置2需要使用certify.exe工具<\/p>

ESC4攻击<\/h2>

ESC5攻击<\/h2>

ESC6攻击<\/h2>

ESC7攻击<\/h2>

配置要求<\/h3> 用户或所属组拥有管理CA权限（如Domain Users、Authenticated Users）<\/p>

ESC8攻击<\/h2>

ESC9攻击<\/h2>

ESC10攻击<\/h2>

ESC11攻击<\/h2>

配置要求<\/h3> 域控上关闭强制加密<\/p>

利用方法<\/h3> 使用ntlmrelay进行中继利用，配合打印机或PetitPotam触发<\/p>

ESC13攻击<\/h2>

ESC15攻击<\/h2>

配置要求<\/h3>
与ESC1相同，但扩展中设置"Any Purpose"类型的EKU<\/p>

利用方法<\/h3>
配置1与ESC2类似，配置2需要使用certify.exe工具<\/p>

配置要求<\/h3>
用户或所属组拥有管理CA权限（如Domain Users、Authenticated Users）<\/p>

配置要求<\/h3>
域控上关闭强制加密<\/p>

利用方法<\/h3>
使用ntlmrelay进行中继利用，配合打印机或PetitPotam触发<\/p>