AD CS ESC2 Attack yazımızda sizlere daha önceki yazılarımızda bahsettiğimiz ESC Atak tiplerinden ikincisini anlatacağım. İlk atak tipinde ESC1 olanda yanlış yapılandırma sonucunda DC üzerinde yapabileceğimiz işlemleri ve domain adminlere giden yolu göstermiştik. Bu yazımızda yine aynı işlem uygulanacak fakat burada Application Policies değişecek ve ona göre işlem yapılacaktır.
Senaryo
- CA Server: KORCA01
- CA Service Name:koraycan-KORCA01-CA
- DC IP:10.10.10.40
- RID500: Not Renamed, Administrator
- StandarUser : Domain Users
Certifica Sunucumuzda Yeni bir Sertifika Template Oluşturduk. İsmi ESC1 olarak ve Template Şu özelliklere Sahip;
- Any Purpose or None: True
- Enabled: True
- Enrollee Supplies Subject: True
- Requires Management Approval: False
- Permission: Domain Users or Authenticated Users has Enroll Permission(Low Privileges Users Enroll Permission)
Template Özellikleri aşağıdaki gibidir.
Yanlış yapılandırılmış bir sertifika template publish edilmiş durumdadır.
CERTIPY ile ESC2 Attack
İlk olarak kali üzerinde aşağıdaki komutu çalıştırıyoruz. Ve sertifikalara ulaşıyoruz.
certipy find -vulnerable -dc-ip 10.10.10.40 -u username -p password
Sonrasında Dışarıya certificate template’ler txt ve json olarak çıkarıldı.
Sertifika Template’lerine Ait Bilgilerin Açılması
Şimdi sertifika templatelerine ait hangi atakları gerçekleştirebiliriz, kontrollerini sağlıyoruz. Export edilen txt dosyasını cat komutları ile açıyoruz.
Yukarıda senaryoda anlattığımız bölümdeki tüm pre-requisited uyduğundan ESC2 atak gerçekleştirebiliyoruz. Ayrıca ESC 1 gerçekleştirebiliyoruz. Bunu yapmak için diğer yazıma bakabilirsiniz.
Haydi Sertifika isteğinde bulunalım.
certipy req -dc-ip 10.10.10.40 -u standartuser@koraycan.com -p 'Password1' -ca koraycan-korca01-ca -target KORCA01 -template ESC2 -upn Administrator@koraycan.com -dns Administrator.koraycan.com
Şimdi sıra geldi administrator ile authentication olmaya ve NT Hash’i ele geçirmiş olduk artık istediğimiz sunucuya girebiliriz. Özelliklede Domain Controllerlara 🙂
Admin NT Hash Elimizde artık istediğimizi yapabiliriz.
DC üzerindeki Share’lara bağlanmaya çalışalım
crackmapexec smb 10.10.10.40 -u administrator -H :a97a67372d7d7a1dfde5d58a29cf5837 --shares
Impacket ile hashleri çıkartalım.
Mitigation ESC2 Attack
Öncellikle bu tip işlemlerin izlenmesi için Audit açılması gerekmektedir. Tüm auditler ile ortam izleme altına alınabilir.
Ayrıca CA Auditing açılmasında fayda vardır.
Bu atakta kullanılan Template’da ayrıca yapılması gerekenler;
Supply in the request’i Build Active Directory Information olarak değiştirilmelidir.
Sonrasında CA Manager Approval enable duruma getirilmelidir.
Ayrıca Domain Users , Authenticated Users veya low-privileges users groubundan enrol yetkisi kaldırılmalıdır.
Sonuç olarak AD CS ESC2 Attack nasıl gerçekleşir ve hangi tip template’lere bu atak gerçekleşmektedir. Ayrıca Audit nasıl açılmaktadır tüm örnekleri ile göstermiş olduk. Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.