SOAPHound是一款功能强大的基于ADWS协议的活动目录环境枚举工具,该工具本质上是一个.NET数据收集工具,可以帮助广大研究人员通过活动目录Web服务(ADWS)协议来收集目标活动目录的相关数据,从而实现活动目录环境枚举。
SOAPSound是许多开源安全工具的替代方案,这些工具通常用于通过LDAP协议提取活动目录数据。SOAPSound也能够提取相同的信息,但整个过程不需要与LDAP服务器通信。所有的LDAP查询都会被封装在一系列SOAP消息中,这些消息使用了NETTCP绑定通信通道并发送到ADWS服务器。接下来,ADWS服务器将拆封并解析LDAP查询,然后将它们转发到运行在同一域控制器上的LDAP服务器。因此,LDAP流量并不是直接发送的,因此不容易被常见的监控工具检测到。
由于该工具基于C#开发,因此我们首先需要在本地设备上安装并配置好最新版本的Visual Studio。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/FalconForceTeam/SOAPHound.git然后导入至Visual Studio中,根据目标操作系统环境完成代码构建和编译即可。
我们可以使用--help命令查看工具的详细帮助选项:
SOAPHoundCopyright (c) 2024 FalconForceConnection and authentication options:--user ADWS 连接所使用的用户名,格式为domainuser或user@domain--password ADWS 连接所使用的密码--domain 指定要枚举的目标域--dc 要连接的域控制器Supported collection methods:--buildcache (默认: false) 仅构建缓存--dnsdump (默认: false) 转储AD集成DNS数据--certdump (默认: false) 转储AD凭证服务数据--bhdump (默认: false) 转储BH数据Output options:-o, --outputdirectory 输出文件目录-c, --cachefilename 缓存文件名Splitting options:-a, --autosplit (默认: false) 启用AutoSplit模式:: 根据定义的阈值自动将检索对象分割成两个深度层次-t, --threshold (默认: 0) AutoSplit模式:根据每个起始字母的对象数定义拆分阈值Miscellaneous options:--nolaps (默认: false) 不请求LAPS相关信息--showstats 显示本地缓存文件统计数据--logfile 创建日志文件--help 查看工具帮助信息
(向右滑动,查看更多)
该工具在运行时必须提供下列数据收集方法的其中一个:
--buildcache:仅构建高速缓存而不执行其他操作;
--bhdump:转储BloodHound数据;
--certdump:转储活动目录凭证服务(ADCS)数据;
--dnsdump:转储AD集成DNS数据;
构建高速缓存文件,包含所有域目标的基础信息:
SOAPHound.exe --buildcache -c c:tempcache.txt显示和查看缓存文件的统计数据:
SOAPHound.exe --showstats -c c:tempcache.txt收集BloodHound数据:
SOAPHound.exe -c c:tempcache.txt --bhdump -o c:tempbloodhound-output(向右滑动,查看更多)
以AutoSplit模式收集BloodHound数据:
SOAPHound.exe -c c:tempcache.txt --bhdump -o c:tempbloodhound-output --autosplit --threshold 1000(向右滑动,查看更多)
收集ADCS数据:
SOAPHound.exe -c c:tempcache.txt --certdump -o c:tempbloodhound-output(向右滑动,查看更多)
收集活动目录集成DNS数据:
SOAPHound.exe --dnsdump -o c:tempdns-output本项目的开发与发布遵循GPL-3.0开源许可证协议。
SOAPHound:
https://github.com/FalconForceTeam/SOAPHound
原文始发于微信公众号(FreeBuf):SOAPHound:一款功能强大的基于ADWS协议的活动目录环境枚举工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论