ADCS攻击指北-权限维持技术文档<\/h1>

1. 黄金证书攻击<\/h2>

1.1 提取CA证书及私钥<\/h3>

方法一：使用certsrv.msc备份<\/strong><\/p>

在CA服务器上使用certsrv.msc工具备份整个CA<\/li> <\/ul>
方法二：使用Mimikatz提取<\/strong><\/p>

运行Mimikatz提取CA私钥<\/li>
注意识别正确的证书：Subject和Issuer必须一致<\/li>
导出证书（通常会导出2个证书）<\/li> <\/ol>
方法三：使用SharpDPAPI提取<\/strong><\/p>

运行SharpDPAPI提取私钥<\/li>
同样需要验证Issuer和Subject的一致性<\/li>
将私钥保存为PEM格式<\/li>
使用以下命令转换为PFX文件：
openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx <\/code><\/pre> <\/li> <\/ol> 1.2 证书生成<\/h3> 获取CA私钥后，使用ForgeCert工具生成伪造证书<\/li> 生成管理员证书文件<\/li> <\/ol> 1.3 请求证书<\/h3> 当目标系统未设置智能卡认证时，可使用SChannel进行身份验证<\/li> 使用Rubeus工具获取TGT票据<\/li> <\/ul> 2. 白银证书攻击<\/h2> 2.1 添加权限<\/h3> 需要对NTAuthCertificates对象设置权限<\/li> 可通过PowerShell添加权限： # 示例PowerShell命令<\/span> <\/span><\/span>Add-ADPermission -Identity "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=com"<\/span> -User "stu1"<\/span> -AccessRights WriteProperty -Properties "cACertificate"<\/span> <\/span><\/span><\/code><\/pre><\/li> 如果不添加权限，将无法添加自签CA证书<\/li> <\/ol> 2.2 自签证书<\/h3> 使用OpenSSL创建伪造CA证书：<\/p> 只需填写Common Name字段，其他字段留空<\/li> <\/ul> openssl req -new -x509 -keyout fakeCA.key -out fakeCA.cer -days 365<\/span> -nodes <\/span><\/span><\/code><\/pre><\/li> 使用certutil添加伪造CA：<\/p> certutil -dspublish -f fakeCA.cer RootCA <\/span><\/span><\/code><\/pre><\/li> 在域控制器上将伪造CA添加到受信任的颁发证书机构<\/p> <\/li> 手动更新注册表：<\/p> certutil -pulse <\/span><\/span><\/code><\/pre><\/li> 创建CA配置文件(ca.conf)用于请求证书吊销列表(CRL)<\/p> <\/li> 启动Web服务供certipy请求本地CRL文件<\/p> <\/li> <\/ol> 2.3 请求证书<\/h3> 使用certipy请求管理员证书，成功后可获取管理员hash<\/li> <\/ul> 3. Shadow Credentials攻击<\/h2> 3.1 使用PyWhisker工具<\/h3> 修改目标对象的msDS-KeyCredentialLink属性<\/li> 要求服务器版本>=2016<\/li> 获取证书后可使用Rubeus等进行Pass-The-Ticket攻击<\/li> <\/ol> 3.2 NTLM Relay强制认证<\/h3> 通过NTLM Relay到LDAP\/LDAPS为客户端设置msDS-KeyCredentialLink<\/li> 由于KB957097补丁阻止了SMB到SMB的中继，需将--shadow-target设为辅助域控<\/li> 使用PetitPotam强制DC02$向攻击机发起NTLM认证<\/li> 查看NTLM Relay结果，确认msDS-KeyCredentialLink属性已添加<\/li> <\/ol> 4. 工具与命令总结<\/h2> 4.1 关键工具<\/h3> Mimikatz：提取CA私钥<\/li> SharpDPAPI：提取私钥<\/li> ForgeCert：生成伪造证书<\/li> Rubeus：请求TGT票据<\/li> certipy：请求证书<\/li> PyWhisker：修改KeyCredentialLink属性<\/li> PetitPotam：强制NTLM认证<\/li> <\/ul> 4.2 常用命令<\/h3> # PEM转PFX<\/span> <\/span><\/span>openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0"<\/span> -export -out cert.pfx <\/span><\/span> <\/span><\/span># 添加伪造CA<\/span> <\/span><\/span>certutil -dspublish -f fakeCA.cer RootCA <\/span><\/span> <\/span><\/span># 更新注册表<\/span> <\/span><\/span>certutil -pulse <\/span><\/span><\/code><\/pre>5. 防御建议<\/h2> 限制对NTAuthCertificates对象的写权限<\/li> 监控CA证书的异常导出行为<\/li> 及时安装安全补丁(KB957097等)<\/li> 限制智能卡认证配置<\/li> 监控msDS-KeyCredentialLink属性的异常修改<\/li> 实施NTLM Relay防护措施<\/li> <\/ol> 6. 参考资源<\/h2> 微信公众号：赛博海妖（获取更多技术文章）<\/li> 先知社区技术文档<\/li> 相关工具GitHub仓库<\/li> <\/ul>