BloodHound & Other AD Enum Tools
Reading time: 5 minutes
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
AD Explorer
AD Explorer - це частина Sysinternal Suite:
Розширений переглядач та редактор Active Directory (AD). Ви можете використовувати AD Explorer для легкого навігації в базі даних AD, визначення улюблених місць, перегляду властивостей об'єктів та атрибутів без відкриття діалогових вікон, редагування дозволів, перегляду схеми об'єкта та виконання складних пошуків, які ви можете зберегти та повторно виконати.
Snapshots
AD Explorer може створювати знімки AD, щоб ви могли перевірити його офлайн.
Його можна використовувати для виявлення вразливостей офлайн або для порівняння різних станів бази даних AD з часом.
Вам знадобляться ім'я користувача, пароль та напрямок для підключення (потрібен будь-який користувач AD).
Щоб зробити знімок AD, перейдіть до File
--> Create Snapshot
і введіть ім'я для знімка.
ADRecon
ADRecon - це інструмент, який витягує та об'єднує різні артефакти з середовища AD. Інформація може бути представлена у спеціально відформатованому звіті Microsoft Excel, який включає підсумкові перегляди з метриками для полегшення аналізу та надання цілісної картини поточного стану цільового середовища AD.
# Run it
.\ADRecon.ps1
BloodHound
From https://github.com/BloodHoundAD/BloodHound
BloodHound - це односторінковий веб-додаток на Javascript, побудований на основі Linkurious, скомпільований за допомогою Electron, з базою даних Neo4j, яка заповнюється збирачем даних на C#.
BloodHound використовує теорію графів, щоб виявити приховані та часто непередбачувані зв'язки в середовищі Active Directory або Azure. Зловмисники можуть використовувати BloodHound, щоб легко ідентифікувати складні шляхи атак, які в іншому випадку було б неможливо швидко виявити. Захисники можуть використовувати BloodHound, щоб ідентифікувати та усунути ті ж самі шляхи атак. Як сині, так і червоні команди можуть використовувати BloodHound, щоб легко отримати глибше розуміння відносин привілеїв в середовищі Active Directory або Azure.
Отже, Bloodhound - це чудовий інструмент, який може автоматично перераховувати домен, зберігати всю інформацію, знаходити можливі шляхи ескалації привілеїв і показувати всю інформацію за допомогою графіків.
BloodHound складається з 2 основних частин: інгесторів та додатку візуалізації.
Інгестори використовуються для перерахунку домену та витягування всієї інформації в форматі, який зрозуміє додаток візуалізації.
Додаток візуалізації використовує neo4j для показу того, як вся інформація пов'язана, і для демонстрації різних способів ескалації привілеїв у домені.
Installation
Після створення BloodHound CE весь проект був оновлений для зручності використання з Docker. Найпростіший спосіб почати - це використовувати його попередньо налаштовану конфігурацію Docker Compose.
- Встановіть Docker Compose. Це має бути включено в установку Docker Desktop.
- Запустіть:
curl -L https://ghst.ly/getbhce | docker compose -f - up
- Знайдіть випадково згенерований пароль у виході терміналу Docker Compose.
- У браузері перейдіть за адресою http://localhost:8080/ui/login. Увійдіть з ім'ям користувача
admin
тавипадково згенерованим паролем
, який ви можете знайти в журналах docker compose.
Після цього вам потрібно буде змінити випадково згенерований пароль, і у вас буде новий інтерфейс, з якого ви зможете безпосередньо завантажити ingestors.
SharpHound
Вони мають кілька варіантів, але якщо ви хочете запустити SharpHound з ПК, приєднаного до домену, використовуючи вашого поточного користувача та витягти всю інформацію, ви можете зробити:
./SharpHound.exe --CollectionMethods All
Invoke-BloodHound -CollectionMethod All
Ви можете дізнатися більше про CollectionMethod та сесію циклу тут
Якщо ви хочете виконати SharpHound, використовуючи інші облікові дані, ви можете створити сесію CMD netonly і запустити SharpHound звідти:
runas /netonly /user:domain\user "powershell.exe -exec bypass"
Дізнайтеся більше про Bloodhound на ired.team.
Group3r
Group3r - це інструмент для знаходження вразливостей в Active Directory, пов'язаних з Груповою Політикою.
Вам потрібно запустити group3r з хоста всередині домену, використовуючи будь-якого доменного користувача.
group3r.exe -f <filepath-name.log>
# -s sends results to stdin
# -f send results to file
PingCastle
PingCastle оцінює безпекову позицію середовища AD і надає гарний звіт з графіками.
Щоб запустити його, можна виконати бінарний файл PingCastle.exe
, і він розпочне інтерактивну сесію, представляючи меню опцій. За замовчуванням використовується опція healthcheck
, яка встановить базовий огляд домена та знайде неправильні налаштування і вразливості.
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.