PrivEsc Помогите с AD CS

[0x60b1iN]

В домене есть CA, и обычные доменные юзеры могут запрашивать сертификаты и указывать сабджект, из-за ошибки конфигурации темплейта, что ведет в повышению привилегий. Но dns не возвращает IP CS (может просто машину убрали).

Можно что-то сделать?

UPDATED: rpc эндпоинт не находит для энрола просто

 

[IIIIXX]

Чем поднимаешься? certipy?
какой esc в темплейте ?
Ошибка rpc - закрыт енрол по smb, пробуй через веб
Если ошибка Failed to connect to endpoint ncacn_np:ipadr[\pipe\cert]: SMB SessionError:
в конец команды добавляешь ключ
-web
Если не помогло то такой
-web -scheme http

 

[0x60b1iN]

Чем поднимаешься? certipy?
какой esc в темплейте ?
Ошибка rpc - закрыт енрол по smb, пробуй через веб
Если ошибка Failed to connect to endpoint ncacn_np:ipadr[\pipe\cert]: SMB SessionError:
в конец команды добавляешь ключ
-web
Если не помогло то такой
-web -scheme http

благодарю за ответ, там веб энрол был отключен, пришлось другой вектор юзать.

Уже ломаю другую сетку, может подскажешь со следующим вопросом. Темплейт для аутентификации клиента, можно указать сабжект, и можно энролить. Получается без проблем, при этом указав ДА в альтенейме. (ESC1) Но когда через рубеус прошу тикет, то получаю следующее

[X] KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED

Может сталкивался ?

 

[Japok]

Ты попробуй не TGT-тикет просить используя сертификат,а декриптануть этот сертификат и получить ntlm-хеш учётки которая в сертификате имперсонализирована. UnPAC the Hash называется

благодарю за ответ, там веб энрол был отключен, пришлось другой вектор юзать.

Уже ломаю другую сетку, может подскажешь со следующим вопросом. Темплейт для аутентификации клиента, можно указать сабжект, и можно энролить. Получается без проблем, при этом указав ДА в альтенейме. (ESC1) Но когда через рубеус прошу тикет, то получаю следующее

[X] KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED

Может сталкивался ?

 

[0x60b1iN]

Ты попробуй не TGT-тикет просить используя сертификат,а декриптануть этот сертификат и получить ntlm-хеш учётки которая в сертификате имперсонализирована. UnPAC the Hash называется

То ли я, то ли ты чет путаем. https://www.thehacker.recipes/ad/movement/kerberos/unpac-the-hash , ты же тгт все равно просишь, а я как раз его и запросить не могу из-за
[X] KRB-ERROR (62) : KDC_ERR_CLIENT_NOT_TRUSTED

 

[Japok]

Ты через Certify или Certipy сертификат получил?

 

[0x60b1iN]

Ты через Certify или Certipy сертификат получил?

И так и так получал, плюс помимо ESC1 у меня ESC4 на этом темплейте, я уже в наглую менял все возможные параметры, и без результата. Просил тикет и через рубеус, и через certipy auth. Я сегодня как буду на рабочем месте, то покидаю скринов, может я чет упускаю.

 

[0x60b1iN]

Ты через Certify или Certipy сертификат получил?

  CA Name                               : X.Y.Z\XYZ

    Template Name                         : XYZ_VMWareSSL_v2

    Schema Version                        : 4

    Validity Period                       : 3 years

    Renewal Period                        : 6 weeks

    msPKI-Certificate-Name-Flag          : ENROLLEE_SUPPLIES_SUBJECT

    mspki-enrollment-flag                 : NONE

    Authorized Signatures Required        : 0

    Application Policies                  :

    pkiextendedkeyusage                   : Client Authentication, Server Authentication

    mspki-certificate-application-policy  : Client Authentication, Server Authentication

    Permissions

      Enrollment Permissions

        Enrollment Rights           : <UNKNOWN>                     S-1-5-21-X-X-X-X

                                      XYZ\Domain Admins            S-1-5-21-X-X-X-512

                                      XYZ\Enterprise Admins        S-1-5-21-X-X-X-519

                                      NT AUTHORITY\Authenticated UsersS-1-5-11

Через certipy

Через Rubeus

 

[Japok]

Понял! Я лично сам дважды эксплуатировал ESC1 в небольших сетках, подобной проблемы как у тебя не было. Я бы посоветовал тебе эксплуатировать ESC1 с помощью Certify а не Certipy. Через Certify я думаю стабильнее, т.к запрос сертификата идёт из внутреннего периметра т.е из шелла.
PS. Оказывается ты и через Certify пробовал, не увидел сообщение . Могу предположить что сама среда AD неправильно настроена для работы с протоколом Kerberos.

 

[Japok]

  CA Name                               : X.Y.Z\XYZ

    Template Name                         : XYZ_VMWareSSL_v2

    Schema Version                        : 4

    Validity Period                       : 3 years

    Renewal Period                        : 6 weeks

    msPKI-Certificate-Name-Flag          : ENROLLEE_SUPPLIES_SUBJECT

    mspki-enrollment-flag                 : NONE

    Authorized Signatures Required        : 0

    Application Policies                  :

    pkiextendedkeyusage                   : Client Authentication, Server Authentication

    mspki-certificate-application-policy  : Client Authentication, Server Authentication

    Permissions

      Enrollment Permissions

        Enrollment Rights           : <UNKNOWN>                     S-1-5-21-X-X-X-X

                                      XYZ\Domain Admins            S-1-5-21-X-X-X-512

                                      XYZ\Enterprise Admins        S-1-5-21-X-X-X-519

                                      NT AUTHORITY\Authenticated UsersS-1-5-11

Через certipy

Посмотреть вложение 53285

Посмотреть вложение 53286

Через Rubeus
Посмотреть вложение 53288

Если у тебя ошибка выходит в тестовой среде AD, а не в реальной корп.среде. То попробуй на Контроллере Домена где Certificate Services расположена, прописать : > certutil.exe -pulse

 

[0x60b1iN]

Если у тебя ошибка выходит в тестовой среде AD, а не в реальной корп.среде. То попробуй на Контроллере Домена где Certificate Services расположена, прописать : > certutil.exe -pulse

Так а какой нормальный админ будет на контроллере CS размещать ? (шучу, будет).
Я бы тестовую среду на скринах бы так сильно не зарисовывал) в любом случае благодарю за советы