ADCS PERSIST1/PERSIST2 用户/机器证书权限维持

前言：ADCS 用户/机器证书权限维持

参考文章：https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
参考文章：https://cloud.tencent.com/developer/article/2285283
参考文章：https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-pkca/4e5fb325-eabc-4fac-a0da-af2b6b4430cb

关于PKINT在kerberos协议中的认证抓包分析

相关的PKINT在kerberos中认证的流程抓包分析可以参考之前写的笔记，参考地址如下所示

参考文章：https://www.cnblogs.com/zpchcbd/p/17495256.html

用户证书权限维持

申请证书

手动申请证书

首先通过certmgr.msc来申请当前域用户aliguai证书，如下图所示

接着查询"个人"中的证书，如下图所示

certutil -user -store My

然后继续导出证书哈希对应的证书pfx信息

certutil -user -exportPFX ece4f2c2641f575f5a7e26a33896ef9adeed4aed C:\Users\aliguai\Desktop\aliguai.pfx

工具申请证书

2024-2-8新增

这边可以直接通过certipy来进行申请用户模板的证书，执行下面这条命令

certipy req -u aliguai@zpchcbd.com -p admin@123 -dc-ip 192.168.75.202 -debug -target-ip 192.168.75.156 -ca adcs -template User

证书认证身份

工具认证身份

这边通过certipy来将aliguai.pfx证书进行kerberos来进行验证，如下图所示

certipy auth -pfx aliguai.pfx -dc-ip 192.168.75.202

权限维持的体现

这边手动在域控上进行修改aliguai的密码，如下图所示

接着继续通过certipy来将aliguai.pfx证书进行kerberos来进行验证，如下图所示，可以看到还是可以获取该用户的哈希值

同样的如果在域控上进行权限维持也是跟上面一样的操作，如下图所示，申请对应的用户模板证书，然后通过证书来进行kerberos认证身份

这边直接通过工具进行申请证书然后进行kerbero认证身份即可

机器证书权限维持

申请证书

工具申请证书

证书认证身份

工具认证身份

自动化攻击收集思路

在一台域机器上可以对用户证书进行搜集，如果存在的话则进行打印。