ADCS攻击指北-权限维持-先知社区

历史记录

清空历史记录

相关的动态
相关的文章
相关的用户
相关的圈子
相关的话题

注册登录

ADCS攻击指北-权限维持

nospicy 历史精选 254浏览 · 2025-03-19 03:04

权限维持

黄金证书

提取CA

要提取 CA 证书及其私钥，可以使用 CA 服务器上的

certsrv.msc

备份整个 CA。

图片加载失败

图片加载失败

图片加载失败

图片加载失败

除了使用CA备份之外还有其他的方式可以提取私钥，下面使用mimkatz来提取

图片加载失败

之后就会导出证书，这里导出了2个证书，要注意看subject和issuer为一致的才是我们CA的私钥

图片加载失败

图片加载失败

这样就成功提取出来了私钥，

SharpDPAPI 也能提取出来

图片加载失败

这里也是要注意issuer和subject要一致，然后将这个私钥复制保存成pem，之后要转换成pfx文件，他下面有给出命令

图片加载失败

图片加载失败

图片加载失败

然后输入密码就会生成一个pfx文件，再通过以上方式获取到私钥之后，就可以通过ForgeCert进行生成证书

证书生成

图片加载失败

之后便会生成出一个administrator的证书文件，之后就可以用rubeus获取TGT或者用

SChannel进行身份验证

请求证书

图片加载失败

没有设置智能卡，可以用Schannel去认证

白银证书

添加权限

需要对NTAuthCertificates进行权限设置

图片加载失败

也可以通过powershell来添加

如果不添加则无法添加自签CA

图片加载失败

自签证书

上面配置了stu1用户可以控制NTAuthCertificates之后，需要创建一个假的自签，用openssl

在自签的时候会要求输入很多信息，只需要输入Common Name，其他为空即可

图片加载失败

之后通过certutil添加创建的假CA

图片加载失败

图片加载失败

查看属性发现添加成功，还需要生成对应的pfx文件(密码为空直接回车)

图片加载失败

创建好之后，需要在DC上将假CA添加到受信任的颁发证书机构中

图片加载失败

修改之后注册表中NTAuthCertificates 的属性需要一些时间去更新才能同步，通过certutil手动更新

图片加载失败

最后需要在linux下创建一个ca.conf文件用于请求证书吊销列表 (CRL)

接着用命令去生成一些必要的文件

图片加载失败

图片加载失败

图片加载失败

最后再开启一个web服务，用于certipy请求本地的CRL文件

请求证书

使用certipy来请求，成功请求到管理员的hash

图片加载失败

Shadow Credentials

pywhisker

通过工具修改msDS-KeyCredentialLink属性进行权限维持，这里用pywhisker来进行操作(server>=2016)

图片加载失败

获取的证书就可以用rubeus等方法进行PTT

NTLMRealy强制认证

通过NTLM Relay To LDAP/LDAPs 来为客户端设置 msDS-KeyCredentialLink。

在 KB957097 补丁中，修改 SMB 身份验证答复的验证方式，防止了同一机器从 SMB 协议到 SMB 协议的中继。因此，在这里我们将 --shadow-target 的目标设为了辅域

图片加载失败

接着用

PetitPotam强制DC02$向攻击机发起NTLM认证

图片加载失败

之后查看一下ntlmrealy结果，发现成功添加了msDS-KeyCredentialLink，并且给出了后续的命令

图片加载失败

大家可以关注我们微信公众号：赛博海妖，后续会更新更多文章

0 人收藏 0 人喜欢

分享

0 条评论

某人

表情

没有评论

热门文章

优秀作者

目录

权限维持

先知社区