Skip to content

ayinedjimi/PrivEscAudit-AD

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

1 Commit
src/privescaudit_ad
src/privescaudit_ad
 
 
tests
tests
 
 
.gitignore
.gitignore
 
 
LICENSE
LICENSE
 
 
README.md
README.md
 
 
setup.py
setup.py
 
 

Repository files navigation

PrivEscAudit-AD

License: MIT Python 3.9+ Security Tool Active Directory MITRE ATT&CK

🇫🇷 Français | 🇬🇧 English

🇫🇷 Français

Description

PrivEscAudit-AD est un outil d'audit de sécurité 100% défensif pour Active Directory, conçu pour détecter les vecteurs d'escalade de privilèges et recommander des remédiations. Inspiré de l'approche PingCastle, cet outil effectue uniquement des requêtes LDAP en lecture seule.

Aucun code d'exploitation n'est inclus. L'outil se concentre exclusivement sur la détection et la recommandation.

Fonctionnalités

  • Scanner de misconfigurations AD :

    • Token privileges dangereux (SeDebugPrivilege, SeBackupPrivilege, etc.)
    • GPOs modifiables par des non-administrateurs
    • LAPS non déployé (Legacy et Windows LAPS)
    • gMSA mal configurés
    • Shadow Admins via groupes imbriqués
    • ACL dangereuses sur objets critiques (AdminSDHolder, krbtgt, etc.)
    • Templates ADCS vulnérables ESC1-ESC8
    • Opérateurs privilégiés avec membres non-attendus

  • Vérification des contre-mesures :

    • Credential Guard
    • Protected Users
    • Tiered Admin Model (OUs, Authentication Policy Silos, PAW)
    • Politiques d'audit avancées
    • Signature SMB/LDAP
    • Rotation du mot de passe krbtgt
    • Restrictions NTLM
    • Durcissement ADCS

  • Recommandations de remédiation :

    • Classement des risques par sévérité
    • Plan de remédiation en 4 phases
    • Mapping MITRE ATT&CK
    • Conformité CIS Benchmarks et ANSSI
    • Scripts PowerShell de vérification (lecture seule)

  • Rapports :

    • Dashboard HTML avec scoring de maturité
    • JSON structuré
    • Markdown
    • CSV

Installation

pip install -e ".[dev]"

Utilisation

# Scan complet
privescaudit-ad scan -s dc01.corp.local -d corp.local -u admin@corp.local -p 'Password'

# Vérification des contre-mesures
privescaudit-ad check -s dc01.corp.local -d corp.local -u admin@corp.local -p 'Password'

# Recommandations de remédiation
privescaudit-ad recommend --scan-results scan_output.json

# Génération de rapports
privescaudit-ad report --scan-results scan_output.json --check-results checks.json -o ./reports

# Conformité CIS / ANSSI
privescaudit-ad compliance --framework anssi --check-results checks.json

Tests

pytest tests/ -v --cov=src/privescaudit_ad

Auteur

Ayi NEDJIMI - contact@ayinedjimi-consultants.fr

🇬🇧 English

Description

PrivEscAudit-AD is a 100% defensive security audit tool for Active Directory, designed to detect privilege escalation vectors and recommend remediations. Inspired by the PingCastle approach, this tool performs only read-only LDAP queries.

No exploitation code is included. The tool focuses exclusively on detection and recommendations.

Features

  • AD Misconfiguration Scanner:

    • Dangerous token privileges (SeDebugPrivilege, SeBackupPrivilege, etc.)
    • GPOs modifiable by non-admin principals
    • LAPS not deployed (Legacy and Windows LAPS)
    • Misconfigured gMSAs
    • Shadow Admins via nested group membership
    • Dangerous ACLs on critical objects (AdminSDHolder, krbtgt, etc.)
    • Vulnerable ADCS templates ESC1-ESC8
    • Privileged operators with unexpected members

  • Counter-Measure Verification:

    • Credential Guard
    • Protected Users
    • Tiered Admin Model (OUs, Authentication Policy Silos, PAW)
    • Advanced Audit Policies
    • SMB/LDAP Signing
    • krbtgt password rotation
    • NTLM Restrictions
    • ADCS Hardening

  • Remediation Recommendations:

    • Risk ranking by severity
    • 4-phase remediation plan
    • MITRE ATT&CK mapping
    • CIS Benchmarks and ANSSI compliance
    • Read-only PowerShell verification scripts

  • Reports:

    • HTML dashboard with maturity scoring
    • Structured JSON
    • Markdown
    • CSV

Installation

pip install -e ".[dev]"

Usage

# Full scan
privescaudit-ad scan -s dc01.corp.local -d corp.local -u admin@corp.local -p 'Password'

# Counter-measure verification
privescaudit-ad check -s dc01.corp.local -d corp.local -u admin@corp.local -p 'Password'

# Remediation recommendations
privescaudit-ad recommend --scan-results scan_output.json

# Report generation
privescaudit-ad report --scan-results scan_output.json --check-results checks.json -o ./reports

# CIS / ANSSI compliance
privescaudit-ad compliance --framework cis --check-results checks.json

Tests

pytest tests/ -v --cov=src/privescaudit_ad

Author

Ayi NEDJIMI - contact@ayinedjimi-consultants.fr

License

This project is licensed under the MIT License - see the LICENSE file for details.

About

Active Directory Privilege Escalation Audit Tool - 100% Defensive Security

ayinedjimi-consultants.fr

Topics

python ldap security-audit active-directory cybersecurity privilege-escalation blue-team adcs mitre-attack defensive-security anssi cis-benchmarks

Resources

Readme

License

MIT license
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases 1

PrivEscAudit-AD v1.0.0 Latest
Feb 18, 2026

Packages

 
 
 

Contributors

Languages