hacktricks/windows-hardening/active-directory-methodology/ad-certificates/account-persistence.md

AD CS アカウントの永続化

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricks で会社を宣伝したいですか？または、PEASS の最新バージョンにアクセスしたり、HackTricks を PDF でダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！

• The PEASS Familyを見つけてください、私たちの独占的なNFTのコレクション

• 公式の PEASS & HackTricks スワッグを手に入れましょう

• 💬 Discord グループまたはtelegram グループに参加するか、Twitterで私をフォローしてください🐦@carlospolopm.

• **ハッキングのトリックを共有するには、hacktricks リポジトリとhacktricks-cloud リポジトリ**に PR を提出してください。

証明書を介したアクティブユーザーの資格情報窃取 - PERSIST1

ユーザーがドメイン認証を許可される証明書をリクエストできる場合、攻撃者はそれをリクエストして窃取し、永続化することができます。

User テンプレートはそれを許可し、デフォルトで提供されます。ただし、無効になっている場合もあります。したがって、Certifyを使用して永続化するための有効な証明書を見つけることができます。

Certify.exe find /clientauth

注意してください。証明書は認証に使用されることができます。ユーザーがパスワードを変更しても、証明書が有効である限り、そのユーザーとして認証されます。

GUIからは、certmgr.mscを使用するか、コマンドラインからcertreq.exeを使用して証明書を要求することができます。

Certifyを使用すると、次のコマンドを実行できます：

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

結果は、テキストブロック形式の 証明書 + 秘密鍵 .pem となります。

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

その証明書を使用するために、.pfx ファイルをターゲットにアップロードし、Rubeus を使用して登録されたユーザーの TGT を要求することができます。証明書の有効期間（デフォルトは1年）の間、TGT を要求することができます。

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

{% hint style="warning" %} THEFT5セクションで説明されている技術と組み合わせることで、攻撃者はアカウントのNTLMハッシュを持続的に取得することができます。攻撃者はこれを使用してパス・ザ・ハッシュまたはクラックを行い、平文のパスワードを取得することができます。
これはLSASSに触れずに行われる長期的な資格情報の盗難の代替手法であり、昇格していない状態から可能です。 {% endhint %}

証明書を使用したマシンの永続化 - PERSIST2

証明書テンプレートがDomain Computersを登録主体として許可している場合、攻撃者は侵害されたシステムのマシンアカウントを登録することができます。デフォルトの**Machine**テンプレートはこれらの特性に一致します。

攻撃者が侵害されたシステムで特権を昇格させると、攻撃者はSYSTEMアカウントを使用して、マシンアカウントに登録権限を付与する証明書テンプレートに登録することができます（詳細はTHEFT3を参照）。

Certifyを使用して、自動的にSYSTEMに昇格してマシンアカウントの証明書を収集することができます。

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

アクセス権を持つマシンアカウント証明書を使用すると、攻撃者はマシンアカウントとしてKerberosに認証することができます。S4U2Selfを使用して、攻撃者は任意のホスト上のKerberosサービスチケット（例：CIFS、HTTP、RPCSSなど）を任意のユーザーとして取得できます。

最終的に、これにより攻撃者はマシンの持続性手法を得ることができます。

証明書の更新によるアカウントの持続性 - PERSIST3

証明書テンプレートには、発行された証明書の使用期間を決定する有効期間と、更新期間（通常は6週間）があります。これは、証明書が期限切れになる前の一定期間で、アカウントが発行元の証明書機関から証明書を更新できるウィンドウです。

攻撃者が窃盗または悪意のある登録を介してドメイン認証が可能な証明書を侵害した場合、攻撃者は証明書の有効期間中にADに認証できます。ただし、攻撃者は期限切れになる前に証明書を更新することができます。これは、追加のチケットの登録が要求されないようにする拡張された持続性アプローチとして機能し、CAサーバー自体にアーティファクトを残す可能性があります。

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！

• The PEASS Familyを発見しましょう。独占的なNFTのコレクションです。

• 公式のPEASS＆HackTricksのグッズを手に入れましょう。

• 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。

• **ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。