CertiHound - تعداد AD CS لـ BloodHound
CertiHound هي أداة تعداد خدمات شهادات Active Directory (AD CS) التي تجمع قالب الشهادات وتكوين CA عبر LDAP وتُصدّرها بصيغة متوافقة مع BloodHound CE. تضيف عقد PKI وحواف إساءة الشهادات (مسارات هجوم على غرار ESC1–ESC) إلى رسم البيانات BloodHound الخاص بك، بحيث تظهر تصعيد امتيازات المستندة إلى الشهادات جنباً إلى جنب مع أسطر هجوم AD الكلاسيكية. يملأ الفجوة بين إساءة استخدام ADCS في Certipy وتصور سطر الهجوم في BloodHound.
للتقييمات المرخصة فقط. تعداد AD CS يتطلب بيانات اعتماد النطاق والإذن.
التثبيت
| الطريقة | الأمر |
|---|
| pip | pip install certihound |
| من المصدر | قم بـ git clone بالمستودع، ثم pip install -e . |
| المتطلب | الوصول إلى LDAP إلى النطاق؛ BloodHound CE v6 للعرض |
| التحقق | certihound --help |
جمع بيانات AD CS
certihound -u analyst -p '***' -d example.local \
-dc dc01.example.local -o output/
| العلم | الغرض |
|---|
-u, --username | مستخدم النطاق |
-p, --password | كلمة المرور (أو hash/Kerberos) |
-d, --domain | النطاق المستهدف |
-dc, --domain-controller | DC للاستعلام عبر LDAP |
-o, --output | دليل الإخراج لـ JSON |
--ldaps | استخدم LDAPS (636) |
الإخراج عبارة عن مجموعة من ملفات JSON التي تستوردها في BloodHound CE.
ما الذي يعدده
| كائن AD CS | لماذا يهم |
|---|
| سلطات الشهادات | تكوين التسجيل/CA، التسجيل عبر الويب |
| قوالب الشهادات | قلب تهيئات ESC الخاطئة |
| حقوق التسجيل | من يمكنه طلب أي قوالب |
| أعلام القالب | ENROLLEE_SUPPLIES_SUBJECT، EKUs، إلخ. |
| أذونات CA | حقوق ManageCA / ManageCertificates |
أسطر هجوم ESC التي يتم سطحها
| ESC | التهيئة الخاطئة |
|---|
| ESC1 | يسمح القالب للمسجل بتوفير الموضوع + مصادقة EKU |
| ESC2 | قالب EKU متعدد الأغراض |
| ESC3 | قوالب وكيل التسجيل |
| ESC4 | قوائم تحكم قالب مدمرة (قوالب قابلة للكتابة) |
| ESC6 | EDITF_ATTRIBUTESUBJECTALTNAME2 على CA |
| ESC7 | أذونات CA مدمرة |
| ESC8 | تتابع NTLM إلى التسجيل عبر الويب في AD CS |
يقوم CertiHound بترميز هذه كحواف بحيث يمكن لـ BloodHound أن يرسم مسار من مستخدم منخفض الامتيازات إلى مسؤول النطاق من خلال إساءة استخدام الشهادة.
الاستيراد إلى BloodHound CE
| الخطوة | الطريقة |
|---|
| 1 | قم بتشغيل CertiHound لإنتاج JSON |
| 2 | في BloodHound CE، قم برفع JSON عبر واجهة المدخول/API |
| 3 | عقد/حواف PKI تظهر في الرسم البياني |
| 4 | طلب مسارات لأهداف قيمة عالية تعبر AD CS |
سير العمل العام
# تعداد AD CS وتحميل أسطر هجوم الشهادات في BloodHound CE
certihound -u audit -p '***' -d corp.local -dc dc.corp.local -o adcs/
# → قم برفع adcs/*.json إلى BloodHound CE، ثم طلب
# "أقصر سطر إلى مسؤولي النطاق" بما في ذلك حواف PKI
# جمع مع Certipy للإساءة الفعلية بمجرد العثور على سطر
CertiHound في مجموعة أدوات AD CS
| الأداة | الدور |
|---|
| CertiHound | تعداد AD CS → رسم بيانات BloodHound CE |
| Certipy | تعداد والإساءة ESC1–ESC17 |
| BloodHound | تصور/طلب أسطر الهجوم |
| NetExec | جمع AD الأوسع + تتابع |
الموارد