AD Certificates

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

支持 HackTricks 的其他方式：

如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版本的 HackTricks，请查看订阅计划!
获取官方 PEASS & HackTricks 商品
探索PEASS 家族，我们的独家NFTs
加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @carlospolopm 上关注我们。
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。

简介

证书的组成部分

证书的主体表示其所有者。
与私钥配对的公钥将证书与其合法所有者关联起来。
由NotBefore和NotAfter日期定义的有效期标志着证书的有效持续时间。
由证书颁发机构（CA）提供的唯一序列号标识每个证书。
颁发者指的是颁发证书的 CA。
SubjectAlternativeName 允许为主体添加其他名称，增强识别灵活性。
基本约束标识证书是用于 CA 还是终端实体，并定义使用限制。
**扩展密钥用途（EKUs）**通过对象标识符（OIDs）详细说明证书的具体用途，如代码签名或电子邮件加密。
签名算法指定签署证书的方法。
由颁发者的私钥创建的签名保证了证书的真实性。

特殊考虑事项

**主体替代名称（SANs）**扩展了证书适用于多个身份，对于具有多个域的服务器至关重要。安全的颁发流程对于避免攻击者操纵 SAN 规范而造成的冒充风险至关重要。

Active Directory（AD）中的证书颁发机构（CAs）

AD CS 通过指定的容器承认 AD 森林中的 CA 证书，每个容器提供独特的角色：

Certification Authorities 容器保存受信任的根 CA 证书。
Enrolment Services 容器详细说明企业 CA 及其证书模板。
NTAuthCertificates 对象包括授权用于 AD 认证的 CA 证书。
AIA（Authority Information Access） 容器通过中间和跨 CA 证书促进证书链验证。

证书获取：客户端证书请求流程

请求过程始于客户端查找企业 CA。
创建 CSR，包含公钥和其他详细信息，生成公私钥对后。
CA 根据可用的证书模板评估 CSR，根据模板的权限颁发证书。
获得批准后，CA 使用其私钥签署证书并将其返回给客户端。

证书模板

在 AD 中定义的这些模板概述了用于颁发证书的设置和权限，包括允许的 EKUs 和注册或修改权限，对于管理证书服务的关键。

证书注册

证书的注册过程由管理员发起，管理员创建证书模板，然后由企业证书颁发机构（CA）发布。这使得模板可供客户端注册，通过将模板名称添加到 Active Directory 对象的 certificatetemplates 字段来实现。

要求客户端请求证书，必须授予注册权限。这些权限由证书模板和企业 CA 本身上的安全描述符定义。必须在两个位置授予权限才能成功请求。

模板注册权限

这些权限通过访问控制条目（ACEs）指定，详细说明权限，如：

Certificate-Enrollment 和 Certificate-AutoEnrollment 权限，每个与特定 GUID 关联。
ExtendedRights，允许所有扩展权限。
FullControl/GenericAll，提供对模板的完全控制。

企业 CA 注册权限

CA 的权限在其安全描述符中概述，可通过证书颁发机构管理控制台访问。某些设置甚至允许低特权用户远程访问，这可能是一个安全问题。

附加颁发控制

可能适用某些控制，如：

管理者批准：将请求置于待定状态，直到由证书管理员批准。
注册代理和授权签名：指定 CSR 上所需签名的数量以及必要的应用程序策略 OID。

请求证书的方法

可以通过以下方式请求证书：

Windows 客户端证书注册协议（MS-WCCE），使用 DCOM 接口。
ICertPassage 远程协议（MS-ICPR），通过命名管道或 TCP/IP。
证书注册 Web 界面，安装了证书颁发机构 Web 注册角色。
证书注册服务（CES），与证书注册策略（CEP）服务一起使用。
网络设备注册服务（NDES）用于网络设备，使用简单证书注册协议（SCEP）。

Windows 用户还可以通过 GUI（certmgr.msc 或 certlm.msc）或命令行工具（certreq.exe 或 PowerShell 的 Get-Certificate 命令）请求证书。

# Example of requesting a certificate using PowerShell
Get-Certificate -Template "User" -CertStoreLocation "cert:\\CurrentUser\\My"

证书认证

Active Directory（AD）支持证书认证，主要利用 Kerberos 和 Secure Channel (Schannel) 协议。

Kerberos 认证过程

在 Kerberos 认证过程中，用户请求获取票据授予票据（TGT），使用用户证书的私钥进行签名。该请求经过域控制器进行多项验证，包括证书的 有效性、路径和 吊销状态。验证还包括验证证书来自受信任的来源，并确认发行者在 NTAUTH 证书存储 中的存在。成功的验证会导致 TGT 的颁发。在 AD 中的 NTAuthCertificates 对象，位于：

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain>,DC=<com>

安全信道（Schannel）认证

Schannel促进了安全的TLS/SSL连接，在握手过程中，客户端提供一个证书，如果成功验证，就会授权访问。证书与AD帐户的映射可能涉及Kerberos的S4U2Self功能或证书的主体替代名称（SAN），以及其他方法。

AD证书服务枚举

可以通过LDAP查询枚举AD的证书服务，揭示有关**企业证书颁发机构（CAs）及其配置的信息。这可被任何具有域身份验证的用户访问，无需特殊权限。工具如Certify和Certipy**用于在AD CS环境中进行枚举和漏洞评估。

使用这些工具的命令包括：

# Enumerate trusted root CA certificates and Enterprise CAs with Certify
Certify.exe cas
# Identify vulnerable certificate templates with Certify
Certify.exe find /vulnerable

# Use Certipy for enumeration and identifying vulnerable templates
certipy find -vulnerable -u john@corp.local -p Passw0rd -dc-ip 172.16.126.128

# Enumerate Enterprise CAs and certificate templates with certutil
certutil.exe -TCAInfo
certutil -v -dstemplate

参考资料

从零开始学习AWS黑客技术 htARTE (HackTricks AWS Red Team Expert)!

支持HackTricks的其他方式：

如果您想在HackTricks中看到您的公司广告或下载PDF版本的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索我们的独家NFTs收藏品The PEASS Family
加入 💬 Discord群 或 电报群 或在Twitter上关注我们 🐦 @carlospolopm.
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

上一页Shadow Credentials 下一页AD CS Account Persistence

最后更新于7个月前