关于SOAPHound
SOAPHound是一款功能强大的基于ADWS协议的活动目录环境枚举工具,该工具本质上是一个.NET数据收集工具,可以帮助广大研究人员通过活动目录Web服务(ADWS)协议来收集目标活动目录的相关数据,从而实现活动目录环境枚举。
工具运行机制
SOAPSound是许多开源安全工具的替代方案,这些工具通常用于通过LDAP协议提取活动目录数据。SOAPSound也能够提取相同的信息,但整个过程不需要与LDAP服务器通信。所有的LDAP查询都会被封装在一系列SOAP消息中,这些消息使用了NETTCP绑定通信通道并发送到ADWS服务器。接下来,ADWS服务器将拆封并解析LDAP查询,然后将它们转发到运行在同一域控制器上的LDAP服务器。因此,LDAP流量并不是直接发送的,因此不容易被常见的监控工具检测到。
工具下载
由于该工具基于C#开发,因此我们首先需要在本地设备上安装并配置好最新版本的Visual Studio。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/FalconForceTeam/SOAPHound.git
然后导入至Visual Studio中,根据目标操作系统环境完成代码构建和编译即可。
工具使用帮助
我们可以使用--help命令查看工具的详细帮助选项:
SOAPHound Copyright (c) 2024 FalconForce Connection and authentication options: --user ADWS 连接所使用的用户名,格式为domain\user或user@domain --password ADWS 连接所使用的密码 --domain 指定要枚举的目标域 --dc 要连接的域控制器 Supported collection methods: --buildcache (默认: false) 仅构建缓存 --dnsdump (默认: false) 转储AD集成DNS数据 --certdump (默认: false) 转储AD凭证服务数据 --bhdump (默认: false) 转储BH数据 Output options: -o, --outputdirectory 输出文件目录 -c, --cachefilename 缓存文件名 Splitting options: -a, --autosplit (默认: false) 启用AutoSplit模式:: 根据定义的阈值自动将检索对象分割成两个深度层次 -t, --threshold (默认: 0) AutoSplit模式:根据每个起始字母的对象数定义拆分阈值 Miscellaneous options: --nolaps (默认: false) 不请求LAPS相关信息 --showstats 显示本地缓存文件统计数据 --logfile 创建日志文件 --help 查看工具帮助信息
支持的数据收集方法
该工具在运行时必须提供下列数据收集方法的其中一个:
--buildcache:仅构建高速缓存而不执行其他操作; --bhdump:转储BloodHound数据; --certdump:转储活动目录凭证服务(ADCS)数据; --dnsdump:转储AD集成DNS数据;
工具使用演示
构建高速缓存文件,包含所有域目标的基础信息:
SOAPHound.exe --buildcache -c c:\temp\cache.txt
显示和查看缓存文件的统计数据:
SOAPHound.exe --showstats -c c:\temp\cache.txt
收集BloodHound数据:
SOAPHound.exe -c c:\temp\cache.txt --bhdump -o c:\temp\bloodhound-output
以AutoSplit模式收集BloodHound数据:
SOAPHound.exe -c c:\temp\cache.txt --bhdump -o c:\temp\bloodhound-output --autosplit --threshold 1000
收集ADCS数据:
SOAPHound.exe -c c:\temp\cache.txt --certdump -o c:\temp\bloodhound-output
收集活动目录集成DNS数据:
SOAPHound.exe --dnsdump -o c:\temp\dns-output
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可证协议。
项目地址
SOAPHound:【GitHub传送门】
参考资料
SOAPHound — tool to collect Active Directory data via ADWS - FalconForce
