8.5 KiB
BloodHound & Other AD Enum Tools
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
AD Explorer
AD Explorer は Sysinternal Suite の一部です:
高度な Active Directory (AD) ビューアおよびエディタです。AD Explorer を使用すると、AD データベースを簡単にナビゲートし、お気に入りの場所を定義し、ダイアログボックスを開かずにオブジェクトのプロパティや属性を表示し、権限を編集し、オブジェクトのスキーマを表示し、保存して再実行できる高度な検索を実行できます。
Snapshots
AD Explorer は AD のスナップショットを作成できるため、オフラインで確認できます。
オフラインで脆弱性を発見したり、時間の経過に伴う AD DB の異なる状態を比較したりするために使用できます。
接続するには、ユーザー名、パスワード、および方向が必要です(任意の AD ユーザーが必要です)。
AD のスナップショットを取得するには、File
--> Create Snapshot
に移動し、スナップショットの名前を入力します。
ADRecon
ADRecon は、AD 環境からさまざまなアーティファクトを抽出して結合するツールです。この情報は、分析を容易にし、ターゲット AD 環境の現在の状態の全体像を提供するためのメトリックを含む要約ビューを含む 特別にフォーマットされた Microsoft Excel レポート で提示できます。
# Run it
.\ADRecon.ps1
BloodHound
From https://github.com/BloodHoundAD/BloodHound
BloodHoundは、Linkuriousの上に構築された単一ページのJavascriptウェブアプリケーションで、Electronでコンパイルされ、C#データコレクターによって供給されるNeo4jデータベースを持っています。
BloodHoundは、グラフ理論を使用して、Active DirectoryまたはAzure環境内の隠れた、しばしば意図しない関係を明らかにします。攻撃者はBloodHoundを使用して、迅速に特定することが不可能な非常に複雑な攻撃経路を簡単に特定できます。防御者はBloodHoundを使用して、同じ攻撃経路を特定し排除することができます。ブルーチームとレッドチームの両方が、BloodHoundを使用してActive DirectoryまたはAzure環境内の特権関係をより深く理解することができます。
したがって、Bloodhoundは、ドメインを自動的に列挙し、すべての情報を保存し、可能な特権昇格経路を見つけ、グラフを使用してすべての情報を表示する素晴らしいツールです。
BloodHoundは、ingestorsとvisualisation applicationの2つの主要な部分で構成されています。
ingestorsは、ドメインを列挙し、視覚化アプリケーションが理解できる形式で情報を抽出するために使用されます。
visualisation applicationはneo4jを使用して、すべての情報がどのように関連しているかを示し、ドメイン内で特権を昇格させるさまざまな方法を示します。
Installation
BloodHound CEの作成後、プロジェクト全体がDockerの使いやすさのために更新されました。始める最も簡単な方法は、事前に構成されたDocker Compose構成を使用することです。
- Docker Composeをインストールします。これはDocker Desktopのインストールに含まれているはずです。
- 実行します:
curl -L https://ghst.ly/getbhce | docker compose -f - up
- Docker Composeのターミナル出力でランダムに生成されたパスワードを見つけます。
- ブラウザでhttp://localhost:8080/ui/loginに移動します。ユーザー名にadmin、ログからのランダムに生成されたパスワードでログインします。
その後、ランダムに生成されたパスワードを変更する必要があり、新しいインターフェースが準備されます。そこから直接ingestorsをダウンロードできます。
SharpHound
いくつかのオプションがありますが、ドメインに参加しているPCからSharpHoundを実行し、現在のユーザーを使用してすべての情報を抽出したい場合は、次のようにできます:
./SharpHound.exe --CollectionMethods All
Invoke-BloodHound -CollectionMethod All
CollectionMethod とループセッションについては、こちらで詳しく読むことができます。
異なる資格情報を使用してSharpHoundを実行したい場合は、CMD netonlyセッションを作成し、そこからSharpHoundを実行できます:
runas /netonly /user:domain\user "powershell.exe -exec bypass"
Bloodhoundについて詳しくはired.teamをご覧ください。
Group3r
Group3rは、グループポリシーに関連するActive Directoryの脆弱性を見つけるためのツールです。
任意のドメインユーザーを使用して、ドメイン内のホストからgroup3rを実行する必要があります。
group3r.exe -f <filepath-name.log>
# -s sends results to stdin
# -f send results to file
PingCastle
PingCastle はAD環境のセキュリティ姿勢を評価し、グラフ付きのレポートを提供します。
実行するには、バイナリPingCastle.exe
を実行すると、オプションのメニューを表示するインタラクティブセッションが開始されます。使用するデフォルトオプションは**healthcheck
で、ドメインの概要を確立し、誤設定や脆弱性**を見つけます。
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.