hacktricks/windows-hardening/active-directory-methodology/bloodhound.md

BloodHound & 其他 AD 枚举工具

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

• 您在 网络安全公司 工作吗？ 想要看到您的 公司在 HackTricks 中被宣传 吗？ 或者想要访问 PEASS 的最新版本或下载 HackTricks 的 PDF 吗？ 请查看 订阅计划!
• 发现 PEASS 家族，我们的独家 NFTs 收藏品
• 获取 官方 PEASS & HackTricks 商品
• 加入 💬 Discord 群组 或 电报群组 或 关注 我的 Twitter 🐦@carlospolopm。
• 通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享您的黑客技巧。

AD Explorer

AD Explorer 来自 Sysinternal Suite：

一个高级的 Active Directory (AD) 查看器和编辑器。 您可以使用 AD Explorer 轻松浏览 AD 数据库，定义喜爱的位置，查看对象属性和属性而无需打开对话框，编辑权限，查看对象的模式，并执行可以保存和重新执行的复杂搜索。

快照

AD Explorer 可以创建 AD 的快照，以便您可以离线检查它。
它可用于离线发现漏洞，或比较 AD 数据库在不同时间点的不同状态。

您将需要用户名、密码和连接方向（需要任何 AD 用户）。

要对 AD 进行快照，转到 文件 --> 创建快照 并输入快照的名称。

ADRecon

ADRecon 是一个从 AD 环境中提取和组合各种工件的工具。 信息可以呈现在一个 特别格式化 的 Microsoft Excel 报告 中，其中包括摘要视图和指标，以便于分析并提供目标 AD 环境当前状态的整体图片。

# Run it
.\ADRecon.ps1

BloodHound

From https://github.com/BloodHoundAD/BloodHound

BloodHound是一个单页Javascript Web应用程序，构建在Linkurious之上，使用Electron编译，使用由C#数据收集器提供数据的Neo4j数据库。

BloodHound使用图论来揭示Active Directory或Azure环境中隐藏且通常是意外的关系。攻击者可以使用BloodHound轻松识别高度复杂的攻击路径，否则将无法快速识别。防御者可以使用BloodHound识别并消除相同的攻击路径。蓝队和红队都可以使用BloodHound轻松获得对Active Directory或Azure环境中特权关系的更深入了解。

因此，Bloodhound是一个令人惊叹的工具，可以自动枚举域，保存所有信息，找到可能的特权升级路径，并使用图形显示所有信息。

Booldhound由2个主要部分组成：摄取器和可视化应用程序。

摄取器用于枚举域并提取所有信息，以一种可被可视化应用程序理解的格式。

可视化应用程序使用neo4j来展示所有信息之间的关系，并展示在域中升级特权的不同方式。

安装

在创建BloodHound CE之后，整个项目已更新以便与Docker更轻松地使用。开始的最简单方法是使用其预配置的Docker Compose配置。

1. 安装Docker Compose。这应该包含在Docker Desktop安装中。
2. 运行：

curl -L https://ghst.ly/getbhce | docker compose -f - up

3. 在Docker Compose的终端输出中找到随机生成的密码。
4. 在浏览器中，导航至 http://localhost:8080/ui/login。使用用户名admin和日志中随机生成的密码登录。

完成后，您需要更改随机生成的密码，然后您将准备好新界面，可以直接下载摄取器。

SharpHound

它们有几个选项，但如果您想要从加入域的个人电脑上运行SharpHound，使用您当前的用户并提取所有信息，您可以执行：

./SharpHound.exe --CollectionMethods All
Invoke-BloodHound -CollectionMethod All

您可以在此处详细了解CollectionMethod和循环会话。

如果您希望使用不同的凭据执行SharpHound，可以创建一个CMD netonly会话，并从那里运行SharpHound：

runas /netonly /user:domain\user "powershell.exe -exec bypass"

在 ired.team 了解更多关于 Bloodhound 的信息。

Group3r

Group3r 是一个用于查找 Active Directory 关联的 Group Policy 中的 漏洞 的工具。
您需要使用 任何域用户 从域内主机上 运行 group3r。

group3r.exe -f <filepath-name.log>
# -s sends results to stdin
# -f send results to file

PingCastle

PingCastle 评估AD环境的安全状况，并提供带有图表的报告。

要运行它，可以执行二进制文件 PingCastle.exe，它将启动一个交互式会话，呈现选项菜单。要使用的默认选项是**healthcheck，它将建立域的基线概述**，并查找配置错误和漏洞。