ADCS&ESC2-7Attack

Learning record

Publish Date: 2021-09-01

Update Date: 2021-09-10

Word Count: 1.4k

Read Times: 5 Min

Read Count:

前言

关于最基本的一些知识点、ESC1、ESC8的攻击方式，请看我先前写的文章
https://yangsirrr.github.io/2021/08/16/adcs-esc1-esc8-gong-ji-fang-shi/

这里为技术点的进步补充，主要是ESC2-7

ESC2-配置错误的证书模板

攻击者可以使用带有任何目的的EKU功能证书，进行客户端、服务端的身份验证，也可以使用无EKUs的证书来进行任何目的，或签署新的证书

因此使用从属CA证书，攻击者能够指定新证书中的任意EKUs或字段

配置问题

1、允许低权限用户注册，和ESC1相同
2、管理员审批禁用，和ESC1相同
3、不需要授权的前面，和ESC1相同
4、过于宽松的证书模板授权低权限用户注册
5、证书模板定义了任何的EKUS或无EKU

基本大体都是和ESC1一样的，部分区别如下

检测情况

公开工具能够检测确认漏洞存在如下

同ESC1相同方式申请证书即可

确认获得证书如下，具体如何利用请看ESC1

ESC3-注册代理模板

证书请求代理EKU允许委托人代表其他用户申请证书，对于任何注册此模板的用户，生成的证书可用于代表任何用户共同签署部署请求

配置问题

1、允许低权限用户注册，和ESC1相同
2、管理员审批禁用，和ESC1相同
3、不需要授权的前面，和ESC1相同
4、过于宽松的证书模板授权低权限用户注册
5、证书模板定义了证书请求代理EKU，证书请求代理允许代表其他主题请求其他证书目标
6、没有在CA上实现登记代理限制

基本同ESC1相似，不同点在于证书申请代理处

检测情况

可检测ESC3存在如下

代理注册流程的官方文档：https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-cersod/97f47d4c-2901-41fa-9616-96b94e1b5435

最直接申请administrator证书

ESC4-证书模板访问控制

证书模板是 Active Directory 中的安全对象，这意味着它们具有安全描述符，用于指定哪些 Active Directory 主体对模板具有特定权限。如果允许意外或非特权的委托人编辑安全设置，则模板将被视为访问控制级别上的配置问题，攻击者具备写入、完全控制权限，能够将错误的配置推到模板，比如直接把模板设置为ECS1-3

检测情况

公开工具能够检测并确认漏洞存在如下

概念验证，详情可通过该工具实现 https://github.com/cfalta/PoshADCS，

基于github的这个demo利用来说感觉价值不高....

ECS5-PKI访问控制

证书模板和证书颁发机构本身之外的许多对象可能会对整个ADCS系统产生安全影响，如果控制如下一个将影响整个PKI

包括但不限于：
CA服务器的AD计算机对象（即通过 RBCD 攻陷）
CA服务器的RPC/DCOM服务器
PKI相关的AD对象。容器中的任何后代AD对象或容器CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=  （例如，证书模板容器、证书颁发机构容器、NTAuthCertificates 对象等）

检测情况

这个配置范围非常大，所以检测工具没有检测ECS5的能力，基本CA服务器的RPC/DCOM服务器安全性需要手工分析

获取相关控制编辑权限

domian users能够对相关模板重新编辑，从而影响发布的证书服务应用

ESC6-EDITF_ATTRIBUTESUBJECTALTNAME2

如果在证书颁发机构的配置中启用了EDITF_ATTRIBUTESUBJECTALTNAME2标志，则任何证书请求都可以指定任意主题备用名称 (SAN)。这意味着为域身份验证配置的任何模板也允许非特权用户注册（例如，默认用户模板）可能会被滥用以获取允许我们作为域管理员（或任何其他活动用户/机器）进行身份验证的证书

检测情况

公开工具能够检测并确认漏洞存在如下

修复的话对应关闭EDITF_ATTRIBUTESUBJECTALTNAME2即可
certutil –setreg policy\EditFlags –EDITF_ATTRIBUTESUBJECTALTNAME2

进步利用直接看这个就行了
https://www.keyfactor.com/blog/hidden-dangers-certificate-subject-alternative-names-sans/
其他参考
https://cqureacademy.com/blog/enhanced-key-usage
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn786426(v=ws.11)#controlling-user-added-subject-alternative-names

ESC7-证书颁发机构访问控制

除了证书模板外，证书颁发机构本身剧本一组保护各类CA操作的权限，如下两种权限最为危险

ManageCA：ca admin，允许管理CA操作，包括(远程)配置ESC6-EDITF_ATTRIBUTESUBJECTALTNAME2，将直接导致ESC6
ManageCertificates：cert admin，允许主体批准悬而未决的证书请求，从而否定manager颁发的保护要求

配置问题

证书颁发机构配置相关权限

检测情况

后话

总得来说，想打adcs周边还是得大环境，大域里边容易碰到，小域小环境可能都不会有cs，更不用说打权限了，其次主流使用还是1、8为主，这里个人学习琢磨的2-7可以说是个知识点的补充

Yangsir

https://yangsirrr.github.io/2021/09/01/adcs-esc2-7attack/

All articles in this blog are used except for special statements CC BY 4.0 reprint policy. If reproduced, please indicate source Yangsir !

Redteam Domain Environment PTT DPE ADCS ESC2 ESC3 ESC4 ESC5 ESC6 ESC7

ADCS&DomainGoldenCertificate

2021-09-02 Learning record

Redteam Domain Environment Golden Certificate PTT

Discovery of multiple logic vulnerabilities in a project

2021-08-29 Actual combat record

Logical Vulnerability Discovery Vulnerability