mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-19 09:34:03 +00:00
182 lines
12 KiB
Markdown
182 lines
12 KiB
Markdown
# BloodHound & Outras Ferramentas de Enumeração do AD
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
|
|
* Adquira o [**material oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|
|
|
|
## AD Explorer
|
|
|
|
[AD Explorer](https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer) faz parte do Sysinternal Suite:
|
|
|
|
> Um visualizador e editor avançado do Active Directory (AD). Você pode usar o AD Explorer para navegar facilmente por um banco de dados do AD, definir locais favoritos, visualizar propriedades e atributos de objetos sem abrir caixas de diálogo, editar permissões, visualizar o esquema de um objeto e executar buscas sofisticadas que você pode salvar e reexecutar.
|
|
|
|
### Snapshots
|
|
|
|
O AD Explorer pode criar snapshots de um AD para que você possa verificá-lo offline.\
|
|
Pode ser usado para descobrir vulnerabilidades offline ou para comparar diferentes estados do banco de dados do AD ao longo do tempo.
|
|
|
|
Será necessário o nome de usuário, senha e direção para conectar (qualquer usuário do AD é necessário).
|
|
|
|
Para tirar um snapshot do AD, vá em `File` --> `Create Snapshot` e insira um nome para o snapshot.
|
|
|
|
## ADRecon
|
|
|
|
****[**ADRecon**](https://github.com/adrecon/ADRecon) é uma ferramenta que extrai e combina vários artefatos de um ambiente AD. As informações podem ser apresentadas em um **relatório** do Microsoft Excel **especialmente formatado** que inclui visões resumidas com métricas para facilitar a análise e fornecer um quadro holístico do estado atual do ambiente AD alvo.
|
|
```bash
|
|
# Run it
|
|
.\ADRecon.ps1
|
|
```
|
|
## BloodHound
|
|
|
|
> BloodHound é uma aplicação web monolítica composta por um frontend embutido em React com [Sigma.js](https://www.sigmajs.org/) e uma API REST backend baseada em [Go](https://go.dev/). É implantado com um banco de dados de aplicação [Postgresql](https://www.postgresql.org/) e um banco de dados gráfico [Neo4j](https://neo4j.com), e é alimentado pelos coletores de dados [SharpHound](https://github.com/BloodHoundAD/SharpHound) e [AzureHound](https://github.com/BloodHoundAD/AzureHound).
|
|
>
|
|
>BloodHound utiliza a teoria dos grafos para revelar as relações ocultas e muitas vezes não intencionais dentro de um ambiente Active Directory ou Azure. Atacantes podem usar o BloodHound para identificar facilmente caminhos de ataque altamente complexos que de outra forma seriam impossíveis de identificar rapidamente. Defensores podem usar o BloodHound para identificar e eliminar esses mesmos caminhos de ataque. Tanto equipes azuis quanto vermelhas podem usar o BloodHound para obter um entendimento mais profundo das relações de privilégio em um ambiente Active Directory ou Azure.
|
|
>
|
|
>BloodHound CE é criado e mantido pela [Equipe BloodHound Enterprise](https://bloodhoundenterprise.io). O BloodHound original foi criado por [@\_wald0](https://www.twitter.com/\_wald0), [@CptJesus](https://twitter.com/CptJesus), e [@harmj0y](https://twitter.com/harmj0y).
|
|
>
|
|
>De [https://github.com/SpecterOps/BloodHound](https://github.com/SpecterOps/BloodHound)
|
|
|
|
Então, [Bloodhound](https://github.com/SpecterOps/BloodHound) é uma ferramenta incrível que pode enumerar um domínio automaticamente, salvar todas as informações, encontrar possíveis caminhos de escalonamento de privilégios e mostrar todas as informações usando gráficos.
|
|
|
|
Booldhound é composto por 2 partes principais: **ingestores** e a **aplicação de visualização**.
|
|
|
|
Os **ingestores** são usados para **enumerar o domínio e extrair todas as informações** em um formato que a aplicação de visualização entenderá.
|
|
|
|
A **aplicação de visualização usa neo4j** para mostrar como todas as informações estão relacionadas e para mostrar diferentes maneiras de escalar privilégios no domínio.
|
|
|
|
### Instalação
|
|
Após a criação do BloodHound CE, todo o projeto foi atualizado para facilitar o uso com o Docker. A maneira mais fácil de começar é usar sua configuração pré-configurada do Docker Compose.
|
|
|
|
1. Instale o Docker Compose. Isso deve estar incluído na instalação do [Docker Desktop](https://www.docker.com/products/docker-desktop/).
|
|
2. Execute:
|
|
```
|
|
curl -L https://ghst.ly/getbhce | docker compose -f - up
|
|
```
|
|
3. Localize a senha gerada aleatoriamente na saída do terminal do Docker Compose.
|
|
4. Em um navegador, acesse http://localhost:8080/ui/login. Faça login com um nome de usuário admin e a senha gerada aleatoriamente a partir dos logs.
|
|
|
|
Após isso, você precisará alterar a senha gerada aleatoriamente e terá a nova interface pronta, da qual você pode baixar diretamente os ingestores.
|
|
|
|
### SharpHound
|
|
|
|
Eles têm várias opções, mas se você quiser executar o SharpHound de um PC que esteja no domínio, usando seu usuário atual e extrair todas as informações, você pode fazer:
|
|
```
|
|
./SharpHound.exe --CollectionMethods All
|
|
Invoke-BloodHound -CollectionMethod All
|
|
```
|
|
> Você pode ler mais sobre **CollectionMethod** e sessão de loop [aqui](https://support.bloodhoundenterprise.io/hc/en-us/articles/17481375424795-All-SharpHound-Community-Edition-Flags-Explained)
|
|
|
|
Se desejar executar o SharpHound usando credenciais diferentes, você pode criar uma sessão CMD netonly e executar o SharpHound a partir daí:
|
|
```
|
|
runas /netonly /user:domain\user "powershell.exe -exec bypass"
|
|
```
|
|
[**Saiba mais sobre Bloodhound em ired.team.**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-active-directory-with-bloodhound-on-kali-linux)
|
|
|
|
## Bloodhound Legado
|
|
### Instalação
|
|
|
|
1. Bloodhound
|
|
|
|
Para instalar o aplicativo de visualização, você precisará instalar o **neo4j** e o **aplicativo bloodhound**.\
|
|
A maneira mais fácil de fazer isso é simplesmente:
|
|
```
|
|
apt-get install bloodhound
|
|
```
|
|
Você pode **baixar a versão comunitária do neo4j** [aqui](https://neo4j.com/download-center/#community).
|
|
|
|
1. Ingestores
|
|
|
|
Você pode baixar os Ingestores de:
|
|
|
|
* https://github.com/BloodHoundAD/SharpHound/releases
|
|
* https://github.com/BloodHoundAD/BloodHound/releases
|
|
* https://github.com/fox-it/BloodHound.py
|
|
|
|
1. Aprenda o caminho a partir do gráfico
|
|
|
|
Bloodhound vem com várias consultas para destacar caminhos sensíveis de comprometimento. É possível adicionar consultas personalizadas para aprimorar a busca e correlação entre objetos e mais!
|
|
|
|
Este repositório tem uma boa coleção de consultas: https://github.com/CompassSecurity/BloodHoundQueries
|
|
|
|
Processo de instalação:
|
|
```
|
|
$ curl -o "~/.config/bloodhound/customqueries.json" "https://raw.githubusercontent.com/CompassSecurity/BloodHoundQueries/master/BloodHound_Custom_Queries/customqueries.json"
|
|
```
|
|
### Execução do aplicativo de visualização
|
|
|
|
Após baixar/instalar os aplicativos necessários, vamos iniciá-los.\
|
|
Primeiramente você precisa **iniciar o banco de dados neo4j**:
|
|
```bash
|
|
./bin/neo4j start
|
|
#or
|
|
service neo4j start
|
|
```
|
|
A primeira vez que você iniciar este banco de dados, precisará acessar [http://localhost:7474/browser/](http://localhost:7474/browser/). Será solicitado as credenciais padrão (neo4j:neo4j) e você será **obrigado a alterar a senha**, então mude-a e não a esqueça.
|
|
|
|
Agora, inicie o **aplicativo bloodhound**:
|
|
```bash
|
|
./BloodHound-linux-x64
|
|
#or
|
|
bloodhound
|
|
```
|
|
Você será solicitado a inserir as credenciais do banco de dados: **neo4j:<Sua nova senha>**
|
|
|
|
E o bloodhound estará pronto para receber dados.
|
|
|
|
![](<../../.gitbook/assets/image (171) (1).png>)
|
|
|
|
### **Python bloodhound**
|
|
|
|
Se você possui credenciais de domínio, pode executar um **ingestor bloodhound python de qualquer plataforma**, assim você não precisa depender do Windows.\
|
|
Baixe-o de [https://github.com/fox-it/BloodHound.py](https://github.com/fox-it/BloodHound.py) ou fazendo `pip3 install bloodhound`
|
|
```bash
|
|
bloodhound-python -u support -p '#00^BlackKnight' -ns 10.10.10.192 -d blackfield.local -c all
|
|
```
|
|
Se você estiver executando através do proxychains, adicione `--dns-tcp` para que a resolução DNS funcione através do proxy.
|
|
```bash
|
|
proxychains bloodhound-python -u support -p '#00^BlackKnight' -ns 10.10.10.192 -d blackfield.local -c all --dns-tcp
|
|
```
|
|
### Python SilentHound
|
|
|
|
Este script irá **enumerar silenciosamente um Domínio do Active Directory via LDAP** analisando usuários, administradores, grupos, etc.
|
|
|
|
Confira no [**github do SilentHound**](https://github.com/layer8secure/SilentHound).
|
|
|
|
### RustHound
|
|
|
|
BloodHound em Rust, [**confira aqui**](https://github.com/OPENCYBER-FR/RustHound).
|
|
|
|
## Group3r
|
|
|
|
[**Group3r**](https://github.com/Group3r/Group3r) é uma ferramenta para encontrar **vulnerabilidades** associadas à **Política de Grupo** do Active Directory. \
|
|
Você precisa **executar o group3r** de um host dentro do domínio usando **qualquer usuário do domínio**.
|
|
```bash
|
|
group3r.exe -f <filepath-name.log>
|
|
# -s sends results to stdin
|
|
# -f send results to file
|
|
```
|
|
## PingCastle
|
|
|
|
**[**PingCastle**](https://www.pingcastle.com/documentation/)** avalia a postura de segurança de um ambiente AD e fornece um **relatório** detalhado com gráficos.
|
|
|
|
Para executá-lo, pode-se rodar o binário `PingCastle.exe` e ele iniciará uma **sessão interativa** apresentando um menu de opções. A opção padrão a ser usada é **`healthcheck`**, que estabelecerá uma visão geral **básica** do **domínio**, e encontrará **más configurações** e **vulnerabilidades**.
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
|
|
* Adquira o [**material oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|