ADCS攻击之探测域内证书服务

注意:

1、靶场不成功,记得恢复快照时,统一连接下桥接,同步下时间,每台机器注意网关设置下,记得同步,同步完可以禁用或者去掉桥接网卡。

2、Rubeus获取TGT报错的时候,记得切回域管或者其他手法,添加一下加密形式

报错:KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED

ADCS攻击之探测域内证书服务_第1张图片

解决方法

打开组策略,计算机配置\Windows 设置\安全设置\本地策略\安全选项,找到配置 Kerberos 允许的加密类型,将下面全部勾选即可,勾选后,重新启动就可以获取TGT了

ADCS攻击之探测域内证书服务_第2张图片

3、Rubeus报错支持加密形式,使用新版Rebues 1.6.4 .

ADCS攻击之探测域内证书服务_第3张图片

4、获取TGT的时候遇到的是KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED这种报错,有可能是时间不同步的原因,可重启环境重新测试。

靶场环境

 
  
1、
dc 192.168.11.11
adcs 192.168.11.12
pc 192.168.11.16
kali 192.168.11.6
​
2、
DC2012 191.168.149.133 Windows Server 2012 R2-域控
ADCS 192.168.149.135 Windows Server 2012 R2-AD证书服务器
WIN10 192.168.149.134 Windows 10-模拟办公网个人PC
kali 192.168.149.129 kali攻击机

判断是否存在域和adcs证书


ipconfig /all #查看ip配置详细信息

 ADCS攻击之探测域内证书服务_第4张图片


certutil -CA #显示注册策略CA
certutil -config - -ping #这个命令一般会弹框,所以一般不使用

ADCS攻击之探测域内证书服务_第5张图片

域外:

判断是否存在域,通常域控的NetBIOS名称有关键字例如DC字样,fscan也能直接识别,域控也会通常开启53&88&389&636端口。

通过各种方法我们已经获得了一个域账号,查看是否有ADCS服务:


certipy find -u [email protected] -p 321.com -dc-ip 192.168.11.11 -dc-only -stdout

ADCS攻击之探测域内证书服务_第6张图片

域外获取ADCSIP,使用ADExplorer连接DC的ldap:

ADCS攻击之探测域内证书服务_第7张图片

当然ADCS存在页面http[:]//IP/certsrv/Default.asp,fscan能直接识别:

ADCS攻击之探测域内证书服务_第8张图片

你可能感兴趣的:(内网渗透,内网渗透,ADCS攻击)