BloodHound & Other AD Enum Tools

从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)

AD Explorer

AD Explorer 来自 Sysinternal Suite:

一个高级的 Active Directory (AD) 查看器和编辑器。 您可以使用 AD Explorer 轻松浏览 AD 数据库,定义喜爱的位置,查看对象属性和属性而无需打开对话框,编辑权限,查看对象的模式,并执行可以保存和重新执行的复杂搜索。

快照

AD Explorer 可以创建 AD 的快照,以便您可以离线检查它。 它可用于离线发现漏洞,或比较 AD 数据库在不同时间点的不同状态。

您将需要用户名、密码和连接方向(需要任何 AD 用户)。

要对 AD 进行快照,转到 文件 --> 创建快照 并输入快照的名称。

ADRecon

ADRecon 是一个从 AD 环境中提取和组合各种工件的工具。 信息可以呈现在一个 特别格式化 的 Microsoft Excel 报告 中,其中包括摘要视图和指标,以便于分析并提供目标 AD 环境当前状态的整体图片。

# Run it
.\ADRecon.ps1

BloodHound

From https://github.com/BloodHoundAD/BloodHound

BloodHound是一个单页Javascript Web应用程序,构建在Linkurious之上,使用Electron编译,使用由C#数据收集器提供数据的Neo4j数据库。

BloodHound使用图论来揭示Active Directory或Azure环境中隐藏且通常是意外的关系。攻击者可以使用BloodHound轻松识别高度复杂的攻击路径,否则将无法快速识别。防御者可以使用BloodHound识别并消除相同的攻击路径。蓝队和红队都可以使用BloodHound轻松获得对Active Directory或Azure环境中特权关系的更深入了解。

因此,Bloodhound是一个令人惊叹的工具,可以自动枚举域,保存所有信息,找到可能的特权升级路径,并使用图形显示所有信息。

Booldhound由2个主要部分组成:摄取器可视化应用程序

摄取器用于枚举域并提取所有信息,以一种可被可视化应用程序理解的格式。

可视化应用程序使用neo4j来展示所有信息之间的关系,并展示在域中升级特权的不同方式。

安装

在创建BloodHound CE之后,整个项目已更新以便与Docker更轻松地使用。开始的最简单方法是使用其预配置的Docker Compose配置。

  1. 安装Docker Compose。这应该包含在Docker Desktop安装中。

  2. 运行:

curl -L https://ghst.ly/getbhce | docker compose -f - up
  1. 在Docker Compose的终端输出中找到随机生成的密码。

  2. 在浏览器中,导航至 http://localhost:8080/ui/login。使用用户名admin和日志中随机生成的密码登录。

完成后,您需要更改随机生成的密码,然后您将准备好新界面,可以直接下载摄取器。

SharpHound

它们有几个选项,但如果您想要从加入域的个人电脑上运行SharpHound,使用您当前的用户并提取所有信息,您可以执行:

./SharpHound.exe --CollectionMethods All
Invoke-BloodHound -CollectionMethod All

您可以在此处详细了解CollectionMethod和循环会话。

如果您希望使用不同的凭据执行SharpHound,可以创建一个CMD netonly会话,并从那里运行SharpHound:

runas /netonly /user:domain\user "powershell.exe -exec bypass"

在 ired.team 了解更多关于 Bloodhound 的信息。

Group3r

Group3r 是一个用于查找 Active Directory 关联的 Group Policy 中的 漏洞 的工具。 您需要使用 任何域用户 从域内主机上 运行 group3r

group3r.exe -f <filepath-name.log>
# -s sends results to stdin
# -f send results to file

PingCastle

PingCastle 评估AD环境的安全状况,并提供带有图表的报告

要运行它,可以执行二进制文件 PingCastle.exe,它将启动一个交互式会话,呈现选项菜单。要使用的默认选项是**healthcheck,它将建立的基线概述**,并查找配置错误漏洞

最后更新于