تخطَّ إلى المحتوى

CertiHound - تعداد AD CS لـ BloodHound

CertiHound - تعداد AD CS لـ BloodHound

CertiHound هي أداة تعداد خدمات شهادات Active Directory (AD CS) التي تجمع قالب الشهادات وتكوين CA عبر LDAP وتُصدّرها بصيغة متوافقة مع BloodHound CE. تضيف عقد PKI وحواف إساءة الشهادات (مسارات هجوم على غرار ESC1–ESC) إلى رسم البيانات BloodHound الخاص بك، بحيث تظهر تصعيد امتيازات المستندة إلى الشهادات جنباً إلى جنب مع أسطر هجوم AD الكلاسيكية. يملأ الفجوة بين إساءة استخدام ADCS في Certipy وتصور سطر الهجوم في BloodHound.

للتقييمات المرخصة فقط. تعداد AD CS يتطلب بيانات اعتماد النطاق والإذن.

التثبيت

الطريقةالأمر
pippip install certihound
من المصدرقم بـ git clone بالمستودع، ثم pip install -e .
المتطلبالوصول إلى LDAP إلى النطاق؛ BloodHound CE v6 للعرض
التحققcertihound --help

جمع بيانات AD CS

certihound -u analyst -p '***' -d example.local \
  -dc dc01.example.local -o output/
العلمالغرض
-u, --usernameمستخدم النطاق
-p, --passwordكلمة المرور (أو hash/Kerberos)
-d, --domainالنطاق المستهدف
-dc, --domain-controllerDC للاستعلام عبر LDAP
-o, --outputدليل الإخراج لـ JSON
--ldapsاستخدم LDAPS (636)

الإخراج عبارة عن مجموعة من ملفات JSON التي تستوردها في BloodHound CE.

ما الذي يعدده

كائن AD CSلماذا يهم
سلطات الشهاداتتكوين التسجيل/CA، التسجيل عبر الويب
قوالب الشهاداتقلب تهيئات ESC الخاطئة
حقوق التسجيلمن يمكنه طلب أي قوالب
أعلام القالبENROLLEE_SUPPLIES_SUBJECT، EKUs، إلخ.
أذونات CAحقوق ManageCA / ManageCertificates

أسطر هجوم ESC التي يتم سطحها

ESCالتهيئة الخاطئة
ESC1يسمح القالب للمسجل بتوفير الموضوع + مصادقة EKU
ESC2قالب EKU متعدد الأغراض
ESC3قوالب وكيل التسجيل
ESC4قوائم تحكم قالب مدمرة (قوالب قابلة للكتابة)
ESC6EDITF_ATTRIBUTESUBJECTALTNAME2 على CA
ESC7أذونات CA مدمرة
ESC8تتابع NTLM إلى التسجيل عبر الويب في AD CS

يقوم CertiHound بترميز هذه كحواف بحيث يمكن لـ BloodHound أن يرسم مسار من مستخدم منخفض الامتيازات إلى مسؤول النطاق من خلال إساءة استخدام الشهادة.

الاستيراد إلى BloodHound CE

الخطوةالطريقة
1قم بتشغيل CertiHound لإنتاج JSON
2في BloodHound CE، قم برفع JSON عبر واجهة المدخول/API
3عقد/حواف PKI تظهر في الرسم البياني
4طلب مسارات لأهداف قيمة عالية تعبر AD CS

سير العمل العام

# تعداد AD CS وتحميل أسطر هجوم الشهادات في BloodHound CE
certihound -u audit -p '***' -d corp.local -dc dc.corp.local -o adcs/
# → قم برفع adcs/*.json إلى BloodHound CE، ثم طلب
#   "أقصر سطر إلى مسؤولي النطاق" بما في ذلك حواف PKI

# جمع مع Certipy للإساءة الفعلية بمجرد العثور على سطر

CertiHound في مجموعة أدوات AD CS

الأداةالدور
CertiHoundتعداد AD CS → رسم بيانات BloodHound CE
Certipyتعداد والإساءة ESC1–ESC17
BloodHoundتصور/طلب أسطر الهجوم
NetExecجمع AD الأوسع + تتابع

الموارد