文章总结： 本文系统分析了ActiveDirectory证书服务(ADCS)中的ESC1-ESC11安全漏洞，指出证书比密码更持久、可直接用于Kerberos认证且企业普遍缺乏审计。重点介绍了Certipy工具的使用方法，详细说明了ESC1漏洞的四个利用条件：低权限用户可申请、允许指定SAN、包含客户端认证EKU且无需管理员审批。 综合评分： 87 文章分类： 渗透测试,漏洞分析,内网渗透,红队,安全建设

被遗忘的攻击面：AD CS证书服务攻击完全指南（ESC1-ESC11）

原创

极客零零七 极客零零七

极客零零七

2026年4月14日 06:17 加拿大

在小说阅读器读本章

去阅读

极客零零七 · AD攻击系列 · 第6篇

2021年，SpecterOps发布了一篇改变AD攻防格局的白皮书——Certified Pre-Owned。它系统性地揭示了Active Directory Certificate Services（AD CS）中的一系列致命配置错误，编号ESC1到ESC8。此后社区又发现了ESC9-ESC13。

AD CS攻击为什么重要？ 三个原因：

1. 证书比密码更持久——证书有效期通常1-2年，重置用户密码不会使已颁发的证书失效
2. 证书可以直接用于Kerberos认证——拿到证书就等于拿到了用户权限，无需密码
3. 绝大多数企业从未审计过证书模板配置——这是一块几乎无人看守的攻击面

一、AD CS基础：证书是怎么工作的

核心概念

• CA（Certificate Authority）：颁发证书的服务器，通常是企业内部的Windows Server角色
• 证书模板（Certificate Template）：定义了谁可以申请、证书包含什么内容、用于什么目的
• EKU（Extended Key Usage）：证书的用途限定——客户端认证、服务器认证、代码签名等
• SAN（Subject Alternative Name）：证书中的备用名称字段，可以包含UPN（用户主体名称）

证书认证流程（PKINIT）

用户向CA申请证书 → CA根据模板颁发证书 → 用户用证书向KDC请求TGT（PKINIT）→ KDC返回TGT + NTLM哈希

关键点：通过证书认证时，KDC会在响应中返回用户的NTLM哈希（PAC中的NTLM_SUPPLEMENTAL_CREDENTIAL）。这意味着拿到证书 = 拿到NTLM哈希 = 可以PTH。

二、Certipy：AD CS攻击的核心工具

## 第一步永远是枚举——发现可利用的证书模板certipy find -u [email protected] -p 'Password123' -dc-ip 10.10.10.1 -vulnerable -stdout
## 输出会标记每个模板的ESC编号和利用条件

三、ESC1：最常见、最致命的证书模板错误

漏洞条件

一个证书模板同时满足以下条件时可被利用：

1. 低权限用户可以申请（Enrollment Rights包含Domain Users或Authenticated Users）
2. 允许申请者指定SAN（CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT标志启用）
3. EKU包含Client Authentication（证书可用于Kerberos认证）
4. 无需管理员审批（Manager Approval未启用）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《被遗忘的攻击面：AD CS证书服务攻击完全指南（ESC1-ESC11）》