펜테스팅 위키
  • Welcome
    • Home
  • 정보 수집
    • OSINT
      • Sub Domain
      • Google Hacking
      • Github
      • IP Address
      • Employees
    • 내부망
      • RID Cycling
      • Password Spraying
      • Password Must Change
      • Extension
        • xlsx/ods
        • pfx
        • vhd
        • pst
        • vbs
        • hc
      • Protocol
        • 21 - FTP
        • 22 - SSH
        • 25 - SMTP
        • 23 - Telnet
        • 53 - DNS
        • 80/443 - HTTP
        • 88 - Kerberos
        • 111 - RPC
        • 135 - msrpc
        • 139/445 - SMB
        • 389/636 - LDAP
        • 1433 - MSSQL
        • 5985/5986 - wsman
  • 초기 침투
    • CVEs
      • CVE-2025-31486
    • Phishing
      • Command File
      • EXE + LNK
      • wax
      • Microsoft Word
    • Web
      • Quary Language
        • SQL
        • GraphQL
      • File Upload
      • File Download
      • XSS
      • SSRF
      • CSRF
      • Open Redirect
      • SOP / CORS
    • ZIP Slip
  • 지속성
    • Active Directory
      • Golden Ticket
      • DC Shadow
      • RID Hijacking
    • Local
      • Task Scheduler
      • Startup Folder
      • Registry AutoRun
      • COM
      • WMI Event Subscription
      • SSH Key Injection
      • DLL Hijacking
      • DLL SideLoading
      • Create Account
  • 권한 상승
    • Active Directory
      • DACL
        • ReadGMSAPassword
        • ReadLAPSPassword
        • ForceChangePassword
        • AddSelf
        • WriteOwner
        • GenericAll
        • GenericWrite
        • WriteSPN
        • AddMembers
        • WriteProperty
        • WriteGPO
        • AddAllowedToAct
        • AllExtendedRights
      • AD CS
        • Abuse Permissions
        • ESC1
        • ESC2
        • ESC3
        • ESC4
        • ESC5
        • ESC6
        • ESC7
        • ESC8
        • ESC9
        • ESC10
        • ESC11
        • CVE-2022-26923
        • Non-PKINIT
      • MS14-068
      • Server Operators
      • DnsAdmins
      • noPac
      • Silver Ticket
      • KrbRelayUp
    • Windows
      • SeImpersonatePrivilege
      • Unquoted Service Path
      • Weak Service Permissions
      • Weak Service Binary Permissions
      • UAC Bypass
      • Always Install Elevated
      • Autoruns
      • Credential Manager
      • Local Service Account
  • 민감정보 탈취
    • Active Directory
      • DCSync
      • LSASS
      • AS-REP-Roasting
      • AS Requested Service Tickets
      • Kerberoasting
      • Targeted Kerberoast
      • Shadow Credentials
      • Backup Operators
      • SeEnableDelegationPrivilege
    • Windows
      • Unattended File
      • Browser Stored Credentials
      • NTLM Relay
      • Hard-coding Credentials
      • SeBackupPrivilege
  • 측면 이동
    • File Transfer
      • SCP
      • ZIP
      • ncat
      • Python
      • PowerShell
      • certutil
      • wget
      • SMB
      • Base64
      • FTP
      • WebDav
      • cURL
    • Port Forwarding
    • SMB/Windows Admin Shares
    • RDP
    • DCOM
    • WinRM
    • Domain Trust Discovery
  • ETC
    • CS
      • Kerberos
      • NTLM
      • PKINIT
      • Integrity
      • Registry
      • Active Directory Trusts
      • Delegation
      • OAuth 2.0
      • S4U
    • Tools
      • Cobalt Strike
      • BloodHound
      • Certipy-ad
      • LDAP Search
      • Hydra
Powered by GitBook
On this page

Was this helpful?

Export as PDF
  1. 권한 상승
  2. Active Directory
  3. AD CS

Abuse Permissions

PreviousAD CSNextESC1

Last updated 5 months ago

Was this helpful?

Active Directory 내에서 적절한 권한을 가지고 있으면 CA 서버의 템플릿 설정이 가능합니다.

템플릿을 업로드하여 활성화 시키는 권한이 있을 경우

ESC 공격에 취약한 템플릿을 로컬에 업로드 후 로드하여 악용할 수 있습니다.

주로 악용할 수 있는 권한과 그룹은 다음과 같습니다.

  • Enterprise Admins

  • Domain Admins

  • CA Admins

  • PKI Admins

PKI Admins, CA Admins를 포함하여 일부 그룹은 템플릿 변경 권한이 있음에도

이름이 다르게 표시될 수 있습니다.

이는 기본적으로 AD/CA에서 제공하는 그룹이 아니기 때문입니다.

따라서 그룹명을 통해, 혹은 사용자 이름을 통해 템플릿 수정 권한이 있는지 파악하는 것도 중요합니다.

의도적으로 취약한 템플릿을 활성화 하기 위해서

ADCSTemplate.psm1 모듈을 먼저 로컬에 다운로드 한 뒤 임포트 해야 합니다.

그 이후엔 ESC1과 같은 템플릿을 업로드하여 사용합니다.

Import-Module .\ADCSTemplate.psm1
New-ADCSTemplate -DisplayName ESC1 -JSON (Get-Content .\ESC1.json -Raw) -Publish -Identity <Domain>/<Group>

References

LogoADCSTemplate/ADCSTemplate.psm1 at master · GoateePFE/ADCSTemplateGitHub
LogoGOAD/ansible/roles/adcs_templates/files/ESC1.json at 4cc6cbc1bdc86a236649d6c1e2c0dbf856bedeb6 · Orange-Cyberdefense/GOADGitHub
LogoHTB: CoderMedium