CertStealer 使用教程

项目介绍

CertStealer 是一个 .NET 工具，用于在 Windows 证书存储中导出和导入证书，而无需接触磁盘。这对于需要在内存中进行后期利用操作的红队行动非常有用，例如为了转向目的而窃取证书。该工具被 Defender 标记为恶意软件，因此请勿在目标磁盘上运行，也请勿在未绕过 AMSI 的情况下在内存中运行，并且应进行混淆处理。

项目快速启动

克隆项目

首先，克隆 CertStealer 项目到本地：

git clone https://github.com/TheWover/CertStealer.git

编译项目

进入项目目录并编译：

cd CertStealer
dotnet build

使用示例

以下是一些基本的使用示例：

列出所有证书

CertStealer.exe --list

导出指定指纹的证书

CertStealer.exe --export AF724CB571166C24C0799E65BE4772B10814BDD2

导出指定指纹的证书为 PFX 文件

CertStealer.exe --export pfx AF724CB571166C24C0799E65BE4772B10814BDD2 --password pass123

应用案例和最佳实践

应用案例

CertStealer 主要用于红队操作，特别是在需要窃取证书进行转向操作时。例如，攻击者可以使用 CertStealer 从目标系统中窃取证书，然后使用这些证书进行进一步的攻击。

最佳实践

1. 安全使用：由于 CertStealer 被标记为恶意软件，因此请确保在安全的环境中使用，并且不要在目标系统上直接运行。
2. 绕过 AMSI：在使用 CertStealer 时，确保已绕过 AMSI（反恶意软件扫描接口）。
3. 混淆处理：对 CertStealer 进行混淆处理，以避免被检测到。

典型生态项目

SharpDPAPI

SharpDPAPI 是一个用于处理 Windows DPAPI（数据保护 API）的工具，可以与 CertStealer 结合使用，以从注册表中提取和解密用户的证书。

Mimikatz

Mimikatz 是一个著名的渗透测试工具，可以用于提取凭据和其他敏感信息。它也可以与 CertStealer 结合使用，以增强证书窃取的能力。

通过结合这些工具，可以更有效地进行红队操作和渗透测试。