利用AD CS从域管理员提升到企业管理员

背景

本次攻击重点关注的是“Public Key Services”与子对象“Certificate Templates”和“Enrollment Services”。其中在“Certificate Templates”中列出了所有可以发布到ADCS CA的证书模板。“Enrollment Services”容器存储了AD CS中所有可用的CA对象，这些对象的Certificate Templates属性对应了所有已发布到CA的模板：

使用ADSI编辑器连接到子域的配置上下文时，可以看到PKS容器的DN是父域的DN，这是林根域对象的本地副本。

查看“Public Key Services”的安全属性，SYSTEM和企业管管理员有完全控制权限，认证用户只有读取权限，这是本次提权的关键。因为当前系统的SYSTEM账户是子域中唯一一个能够对该对象拥有写权限的账户，子域的其他账户只有读取相关的权限。

借助psexec以SYSTEM账户身份重新启用ADSI编辑器，由于SYSTEM账户拥有完全控制，因此可修改当前对象的安全描述符。此时可以为子域的账户添加完全控制权限。

由于权限的继承添加的用户对于“Enrollment Services”及子对象也有完全控制权限，该权限在后续的利用中会有所体现。

首先在子域中构造一个构造ESC1类型的证书，可以从现有证书模板进行复制。这里有个小技巧：子域域控制器的证书颁发机构中没有证书模板的菜单，可以在MMC中进行证书模板的复制。

在子域的证书模板创建成功后会自动复制到林根域的活动目录中。

在之前的部分已经介绍过利用SYSTEM账户添加权限的方法，利用SYSTEM账户可以给当前的子域账号添加证书相关节点的完全控制权限方便操作。添加模板名称到“Enrollment Services”的Certificate Templates值中，该值用于记录哪些证书模板是被发布可用于申请的，在根域的CA中能够看到被添加的证书模板。

此时使用子域的账户去申请新的证书模板，成功获得林根域的证书，证书中的AltName是林根域的DC。

将证书转化为pfx格式，然后使用证书申请林根域DC账户的TGT，成功获取。但是这里有个细节，如果林根域DC没有安装服务器验证的扩展，则无法返回TGT并提示KDC_ERR_PADATA_TYPE_NOSUPP，这种情况下可以通过SChannel进行LDAP身份认证。

至此已经成功获取到了林根域DC的TGT，权限提升完成。下面是树状图对整个攻击流程的总结。

本次权限提升主要是利用了AD CS中的ESC5与父子域之间CA的同步特性，通过子域DC中的LOCAL SYSTEM将可提权的ESC1证书模板写入子域CA并发布，然后借助同步将证书模板同步到林根域的CA，实现子域管理员到企业管理的权限提升。这只是AD域中特性的滥用，因此可以作为一种有效的权限提升手段。防御此种攻击方法，禁用SYSTEM账户的权限最简单直接但是有可能会影响AD CS的正常运行，严格审核证书模板的配置能够有效杜绝该攻击以及其他AD CS证书模板造成的权限提升。绿盟科技智能化AD域安全风险评估系统目前已支持本文所述威胁在内的多种ADCS证书模板安全风险识别能力。

智能化AD域安全风险评估系统，由绿盟科技天元实验室基于多年AD域攻防和身份安全威胁研究积累研发，具备全面的AD域风险识别量化评估和威胁暴露面管理能力，结合行业领先的APM攻击路径管理技术，能够以攻击者视角挖掘系统内潜藏的攻击链路，帮助用户理解安全风险和影响。目前该系统已帮助绿盟科技多个行业客户在攻防演练前发现重大隐患并协助完成了系统加固。