Использование Certify и Rubeus для атаки на ADCS

Certify использование Rubeus HTB Escape

Active Directory Certificate Services (ADCS) используется для управления сертификатами в среде Windows. Однако, как и многие другие компоненты Active Directory, ADCS может быть подвержен уязвимостям и требует тщательного анализа на предмет безопасности. Сегодня, на примере прохождения уязвимой машины Escape с площадки Hack The Box покажу, как использовать инструменты Certify и Rubeus для атаки на ADCS.

Еще по теме: Атаки на службы сертификатов Active Directory

Вер­немся к служ­бе сер­тифика­ции Active Directory, которая час­то может помочь зах­ватить целый домен. В основном спо­собы экс­плу­ата­ции ADCS (Active Directory Certificate Services) завяза­ны на неп­равиль­но скон­фигури­рован­ные шаб­лоны сер­тифика­тов, а так­же на пра­ва дос­тупа к этим шаб­лонам и самой служ­бе.

Статья в образовательных целях и предназначается для обучения этичных хакеров. При написании статьи использовались специально уязвимые машины площадки Hack The Box. Использование Certify и Rubeus для несанкционированного доступа к чужим сетям является незаконным. Ни редакция spy-soft.net, ни автор не несут ответс­твен­ности за ваши действия.

Использование Certify и Rubeus для атаки на ADCS

По­лучить информа­цию о служ­бе сер­тифика­ции поз­воля­ет прог­рамма Certify.

Certify — это инструмент на языке C#, который используется для перечисления и злоупотребления неправильной конфигурацией Active Directory Certificate Services (ADCS).

Запус­каем ее с коман­дой find.

Информация о службе ADCS и уязвимый шаблон сертификата:

Ин­форма­ция о служ­бе ADCS и уяз­вимый шаб­лон сер­тифика­та

Certify наш­ла «уяз­вимый шаб­лон сер­тифика­та» и ока­залась пра­ва. Каж­дая тех­ника име­ет свою мар­киров­ку, и в дан­ном слу­чае мы можем исполь­зовать тех­нику ESC1. Это­му спо­собс­тву­ет выпол­нение сле­дующих тре­бова­ний:

  • У шаб­лона сер­тифика­та в свой­стве msPKI-Certificate-Name-Flag уста­нов­лен флаг ENROLLEE_SUPPLIES_SUBJECT, в резуль­тате чего зап­рашива­ющий может сам уста­новить атри­бут SAN (subjectAltName).
  • Сер­тификат мож­но исполь­зовать для аутен­тифика­ции кли­ента (client authentication).
  • Те­кущий поль­зователь име­ет пра­ва для регис­тра­ции сер­тифика­та без утвер­жде­ния менед­жера ADCS.

Та­ким обра­зом, эта тех­ника осно­вана на воз­можнос­ти изме­нения SAN сер­тифика­та и поз­воля­ет выпус­тить сер­тификат для любого поль­зовате­ля домена, вклю­чая адми­нис­тра­тора домена! Это тоже мож­но сде­лать с помощью Certify.

Вы­пуск сер­тифика­та для поль­зовате­ля Administrator

И мы получа­ем сер­тификат и при­ват­ный ключ, который мож­но исполь­зовать для аутен­тифика­ции поль­зовате­ля в домене. Но сна­чала нуж­но перевес­ти сер­тификат из фор­мата PEM в фор­мат PFX.

А теперь с помощью еще одно­го незаме­нимо­го инс­тру­мен­та — Rubeus — про­ведем ата­ку для аутен­тифика­ции в домене и получе­ния тикета поль­зовате­ля Administrator.

Rubeus — это набор инструментов на языке C# для взаимодействия с протоколом Kerberos в среде Windows. Он может использоваться для атак на аутентификацию, а также для анализа и эксплуатации уязвимостей, связанных с Kerberos.

Затем выпол­ним ата­ку UnPAC the hash, что­бы получить тикет поль­зовате­ля и NTLM-хеш его пароля. Rubeus поз­воля­ет сде­лать все это одной коман­дой.

Выполнение атак pass the cert и UnPAC the hash

А теперь с помощью pass the hash под­клю­чаем­ся к служ­бе WinRM и забира­ем флаг рута.

Атака ADCS

Использование инструмента Certify может помочь выявить уязвимости и проблемы в управлении сертификатами в Active Directory.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий