关于ADCSsync

ADCSsync是一款功能强大的临时性DCSync技术测试工具，该工具基于ESC1实现其功能，虽然该工具在运行速度方面没有优势，但ADCSsync能够在不使用DRSUAPI或卷影副本的情况下有效地执行临时DCSync攻击技术测试。

ADCSsync使用了ESC1从活动目录环境中的用户帐户转储NTLM哈希。该工具首先会获取传入的Bloodhound转储文件中的每个用户和域，然后使用Certipy针对每个用户发出请求，并将他们的PFX文件存储在证书目录中。最后，该工具会使用Certipy对证书进行身份验证，并检索每个用户的NT哈希。需要注意的是，整个执行过程会比较慢，可能需要一点时间才能完成，但ADCSsync仍是一种转储NTLM哈希的有效方法。

工具要求

Python 3

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/JPG0mez/adcsync.git

然后切换到项目目录中，使用pip3命令和requirements.txt文件安装该工具所需的依赖组件：

cd adcsync

pip3 install -r requirements.txt

工具使用

在使用该工具之前，我们首先需要准备好下列内容：

1、一个有效的域凭证；

2、BloodHound转储用户列表，随后需要作为参数传递给工具执行；

3、一个存在ESC1漏洞的模版；

查看工具帮助信息

# python3 adcsync.py --help

    ___    ____  ___________                 

   /   |  / __ \/ ____/ ___/__  ______  _____

  / /| | / / / / /    \__ \/ / / / __ \/ ___/

 / ___ |/ /_/ / /___ ___/ / /_/ / / / / /__  

/_/  |_/_____/\____//____/\__, /_/ /_/\___/  

                         /____/              

 

Usage: adcsync.py [OPTIONS]

 

Options:

  -f, --file TEXT         输入Bloodhound用户列表JSON文件  [必须]

  -o, --output TEXT     NTLM哈希输出文件  [必须]

  -ca TEXT             证书颁发机构  [必须]

  -dc-ip TEXT           域控制器的IP地址  [必须]

  -u, --user TEXT       用户名  [必须]

  -p, --password TEXT  密码  [必须]

  -template TEXT       存在ESC1漏洞的模版名称  [必须]

  -target-ip TEXT       目标设备的IP地址  [必须]

  --help               显示工具帮助信息和退出

工具运行截图

项目地址

ADCSsync：【GitHub传送门】

参考资料

https://github.com/puzzlepeaches

https://github.com/ly4k/Certipy

https://github.com/WazeHell/vulnerable-AD

https://www.thehacker.recipes/ad/movement/credentials/dumping/dcsync

https://book.hacktricks.xyz/windows-hardening/stealing-credentials#volume-shadow-copy