Pular para o conteúdo

CertiHound - Enumeração de AD CS para BloodHound Cheatsheet

CertiHound - Enumeração de AD CS para BloodHound Cheatsheet

CertiHound é uma ferramenta de enumeração de Serviços de Certificado do Active Directory (AD CS) que coleta configurações de modelo de certificado e autoridade de certificação via LDAP e a exporta em formato compatível com BloodHound CE. Adiciona nós PKI e bordas de abuso de certificado (os caminhos de ataque do estilo ESC1–ESC) ao seu gráfico BloodHound, para que a escalação de privilégio baseada em certificado apareça junto com os caminhos de ataque clássicos do AD. Preenche a lacuna entre o abuso de ADCS do Certipy e a visualização de caminho de ataque do BloodHound.

Apenas para avaliações autorizadas. Enumerar AD CS requer credenciais de domínio e permissão.

Instalação

MétodoComando
pippip install certihound
From sourcegit clone o repo, depois pip install -e .
RequirementAcesso LDAP ao domínio; BloodHound CE v6 para visualizar
Verifycertihound --help

Coletando Dados de AD CS

certihound -u analyst -p '***' -d example.local \
  -dc dc01.example.local -o output/
FlagPropósito
-u, --usernameUsuário de domínio
-p, --passwordSenha (ou hash/Kerberos)
-d, --domainDomínio alvo
-dc, --domain-controllerDC para consultar via LDAP
-o, --outputDiretório de saída para JSON
--ldapsUse LDAPS (636)

A saída é um conjunto de arquivos JSON que você importa para BloodHound CE.

O Que Enumera

Objeto de AD CSPor que importa
Certificate AuthoritiesConfiguração de inscrição/CA, inscrição na web
Certificate templatesO coração das configurações incorretas do ESC
Enrollment rightsQuem pode solicitar quais modelos
Template flagsENROLLEE_SUPPLIES_SUBJECT, EKUs, etc.
CA permissionsDireitos ManageCA / ManageCertificates

Caminhos de Ataque ESC Expostos

ESCConfiguração incorreta
ESC1Modelo permite que inscritor forneça assunto + EKU auth
ESC2Modelo EKU de qualquer finalidade
ESC3Modelos de agente de inscrição
ESC4ACLs de modelo vulnerável (modelos graváveis)
ESC6EDITF_ATTRIBUTESUBJECTALTNAME2 na CA
ESC7Permissões de CA vulnerável
ESC8Retransmissão NTLM para inscrição na web de AD CS

CertiHound codifica esses como bordas para que BloodHound possa caminhar de um usuário com poucos privilégios para Administrador de Domínio através de um abuso de certificado.

Importar para BloodHound CE

PassoComo
1Execute CertiHound para produzir JSON
2Em BloodHound CE, carregue o JSON via UI/API de ingestão
3Nós/bordas PKI aparecem no gráfico
4Consulte caminhos para alvos de alto valor que atravessam AD CS

Fluxos de Trabalho Comuns

# Enumerate AD CS and load certificate attack paths into BloodHound CE
certihound -u audit -p '***' -d corp.local -dc dc.corp.local -o adcs/
# → upload adcs/*.json into BloodHound CE, then query
#   "shortest path to Domain Admins" including PKI edges

# Combine with Certipy for the actual abuse once a path is found

CertiHound no Kit de Ferramentas AD CS

FerramentaFunção
CertiHoundEnumere AD CS → gráfico BloodHound CE
CertipyEnumere e abuse ESC1–ESC17
BloodHoundVisualize/consulte os caminhos de ataque
NetExecColeta de AD mais ampla + retransmissão

Recursos