AD CS Account Persistence

从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)

支持 HackTricks 的其他方式:

这是来自https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf出色研究中机器持久性章节的简要总结

使用证书理解活动用户凭据窃取 - PERSIST1

在一个场景中,用户可以请求一个允许域认证的证书,攻击者有机会请求窃取这个证书以在网络上保持持久性。默认情况下,Active Directory 中的 User 模板允许这样的请求,尽管有时可能会被禁用。

使用名为 Certify 的工具,可以搜索有效的证书,从而实现持久访问:

Certify.exe find /clientauth

强调证书的力量在于其能够作为所属用户进行身份验证,而不受任何密码更改的影响,只要证书保持有效

可以通过图形界面使用certmgr.msc或通过命令行使用certreq.exe来请求证书。使用Certify,请求证书的过程简化如下:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

成功请求后,将生成一个带有私钥的证书,格式为.pem。要将其转换为可在Windows系统上使用的.pfx文件,使用以下命令:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfx 文件随后可以上传到目标系统,并与名为 Rubeus 的工具一起使用,以请求用户的票据授予票据 (TGT),从而延长攻击者的访问权限,直到证书失效(通常为一年):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

使用证书获得机器持久性 - PERSIST2

另一种方法涉及为受损系统的机器账户注册证书,利用默认的Machine模板允许此类操作。如果攻击者在系统上获得了提升的特权,他们可以使用SYSTEM账户请求证书,提供一种持久性的形式:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

这种访问权限使攻击者能够作为机器帐户进行Kerberos身份验证,并利用S4U2Self获取主机上任何服务的Kerberos服务票据,有效地授予攻击者对机器的持久访问。

通过证书更新延长持久性 - PERSIST3

讨论的最后一种方法涉及利用证书模板的有效性更新周期。通过在证书到期之前对证书进行更新,攻击者可以在不需要额外票据注册的情况下保持对Active Directory的身份验证,这可能会在证书颁发机构(CA)服务器上留下痕迹。

这种方法允许一种延长的持久性方法,通过与CA服务器的互动减少,避免生成可能提醒管理员入侵的工件。

上一页AD Certificates下一页AD CS Domain Escalation

最后更新于