CertStealer 项目使用教程

CertStealer 项目使用教程

CertStealer A .NET tool for exporting and importing certificates without touching disk. 项目地址: https://gitcode.com/gh_mirrors/ce/CertStealer

1、项目介绍

CertStealer 是一个基于 .NET 的工具，用于在 Windows 证书存储中导出和导入证书，而无需接触磁盘。这对于需要在内存中执行后渗透操作的红队活动非常有用，尤其是在需要窃取证书以进行横向移动的情况下。

该项目的主要功能包括：

• 在内存中导出和导入证书。
• 支持导出带有私钥的 PFX 文件。
• 支持指定导出证书的密码。
• 支持列出证书存储中的所有证书。

2、项目快速启动

2.1 环境准备

确保你已经安装了 .NET 运行环境，并且有权限访问 Windows 证书存储。

2.2 下载项目

git clone https://github.com/TheWover/CertStealer.git
cd CertStealer

2.3 编译项目

dotnet build

2.4 使用示例

2.4.1 列出所有证书

CertStealer.exe --list

2.4.2 导出指定证书

CertStealer.exe --export AF724CB571166C24C0799E65BE4772B10814BDD2

2.4.3 导出为 PFX 文件

CertStealer.exe --export pfx AF724CB571166C24C0799E65BE4772B10814BDD2

2.4.4 导入证书

CertStealer.exe --import My user Dw==...gY=

3、应用案例和最佳实践

3.1 红队操作

在红队渗透测试中，CertStealer 可以用于窃取目标系统中的证书，以便进行横向移动或进一步的攻击。例如，通过窃取域控制器的证书，攻击者可以模拟域管理员进行身份验证。

3.2 安全研究

安全研究人员可以使用 CertStealer 来测试和验证证书存储的安全性。通过模拟攻击场景，研究人员可以评估系统在证书被盗取后的响应和恢复能力。

3.3 最佳实践

• 避免在磁盘上运行：CertStealer 被设计为在内存中运行，以避免被检测。不要将其直接运行在目标系统的磁盘上。
• 使用 AMSI 绕过：在目标系统上运行 CertStealer 之前，确保已经绕过了 AMSI（反恶意软件扫描接口）。
• 混淆代码：使用工具如 ConfuserEx 对 CertStealer 进行混淆，以避免被检测。

4、典型生态项目

4.1 Mimikatz

Mimikatz 是一个著名的渗透测试工具，常用于提取 Windows 系统中的凭证。CertStealer 可以与 Mimikatz 结合使用，通过 crypto::capi 或 crypto::cng 命令来绕过证书的导出限制。

4.2 SharpDPAPI

SharpDPAPI 是一个用于操作 Windows DPAPI（数据保护应用程序编程接口）的工具。它可以与 CertStealer 结合使用，通过 DPAPI 操作来提取和解密用户的证书。

4.3 SpecterOps 的白皮书

SpecterOps 的白皮书《Certified Pre-Owned》详细介绍了证书窃取和利用的技术细节。CertStealer 的开发灵感部分来源于此，建议阅读以深入了解相关技术。

---

通过本教程，你应该已经掌握了 CertStealer 的基本使用方法和应用场景。希望你能利用这个工具进行有效的安全测试和研究。

CertStealer A .NET tool for exporting and importing certificates without touching disk. 项目地址: https://gitcode.com/gh_mirrors/ce/CertStealer