内网渗透(十六) | 域分析工具BloodHound的使用

  • A+
所属分类:安全文章

内网渗透(十六) | 域分析工具BloodHound的使用

作者:谢公子

CSDN安全博客专家,擅长渗透测试、Web安全攻防、红蓝对抗。其自有公众号:谢公子学安全

免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表 安世加 的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:qinchang_198231  

加入 安世加 交流群 和大佬们一起交流安全技术

BloodHound

BloodHound是一款域内免费是分析工具。BloodHound通过图与线的形式,将域内用户、计算机、组、会话、ACL之间的关系呈现出来。BloodHound使用图形理论,在活动目录环境中自动理清大部分人员之间的关系和防护。攻击者使用BloodHound可以快速、深入地了解活动目录中用户之间的关系。BloodHound可以在域内导出相关信息,将采集的数据导入本地Neo4j数据库,并进行展示和分析。Neo4j是一款NoSQL图形数据库,它将结构化数据存储在网络内而不是表中。BloodHound正是利用Neo4j这种特性,通过合理的分析,直观地以节点空间的形式表达相关数据。


内网渗透(十六) | 域分析工具BloodHound的使用


BloodHound的安装

我这里以64位的windows10系统为例

1:安装Neo4j数据库

Neo4j数据库的运行需要Java环境的支持,我这里已经安装好了Java环境。

内网渗透(十六) | 域分析工具BloodHound的使用

去Neo4j官网下载社区免费版:https://neo4j.com/download-center/#community

下载后,将安装包解压,然后打开命令行窗口,进入解压后的bin目录,输入命令:neo4j.bat console,启动Neo4j服务。

内网渗透(十六) | 域分析工具BloodHound的使用

服务启动后,浏览器输入:http://127.0.0.1:7474/browser/ ,然后在打开的页面中输入用户名和密码即可。

Host默认是:bolt://127.0.0.1:7687 ,账号和密码默认是:neo4j

内网渗透(十六) | 域分析工具BloodHound的使用

点击Connect,连接成功后,第一次会让我们修改密码,我这里将密码修改为123456。

内网渗透(十六) | 域分析工具BloodHound的使用

充值完密码之后,就可以正常使用Neo4j了

内网渗透(十六) | 域分析工具BloodHound的使用

2:安装BloodHound

下载BloodHound:https://github.com/BloodHoundAD/BloodHound/releases/download/2.0.4/BloodHound-win32-x64.zip

下载后解压,进入解压目录,找到BloodHound.exe,双击。这里输入我们上面的账号密码登录即可。

内网渗透(十六) | 域分析工具BloodHound的使用

登录成功后的截图

内网渗透(十六) | 域分析工具BloodHound的使用

界面左上角是菜单按钮和搜素栏。三个选项卡分别是数据库信息(Database Info)、节点信息(Node Info)和查询(Queries)。数据库信息选显卡中显示了所分析域的用户数量、计算机数量、组数量、会话数量、ACL数量、关系等信息,用户可以在此处执行基本的数据库管理操作,包括注销和切换数据库,以及清除当前加载的数据库。节点信息选项卡中显示了用户在图表中单击的节点的信息。查询选项卡中显示了BloodHound预置的查询请求和用户自己构建的查询请求。

界面左上角是设置区。

第一个是刷新功能,BloodHound将重新计算并绘制当前显示的图形;

第二个是导出图形功能,可以将当前绘制的图形导出为JSON或PNG文件;

第三个是导入图形功能,可以导入JSON文件;

第四个是上传数据功能,BloodHound将对上传的文件进行自动检测,然后获取CSV格式的数据;

第五个是更改布局类型功能,用于在分层和强制定向图布局之间切换;

第六个是设置功能,可以更改节点的折叠行为,以及在不同的细节模式之间切换。


内网渗透(十六) | 域分析工具BloodHound的使用


采集数据

在使用BloodHound进行分析时,需要调用来自活动目录的三条信息:

  1. 哪些用户登录了哪些机器?

  2. 哪些用户拥有管理员权限?

  3. 哪些用户和组属于哪些组?

BloodHound需要的这三条信息依赖于 PowerView.ps1脚本的BloodHound。BloodHound分为两部分:

  1. 一是PowerShell采集器脚本(旧版本叫做BloodHound_Old.ps1,新版本叫做 SharpHound.ps1),

  2. 二是可执行文件 SharpHound.exe。

执行以下命令用于收集信息,不需要管理员权限。

SharpHound.exe -c all
内网渗透(十六) | 域分析工具BloodHound的使用


执行完成后,会在当前目录生成 时间戳_BloodHound.zip 的文件


内网渗透(十六) | 域分析工具BloodHound的使用


导入数据

BloodHound支持通过界面上传单个文件和ZIP文件,最简单的方法是将压缩文件放到界面上节点信息选项卡以外的任意空白位置。文件导入后,即可查看内网的相关信息。


如图,该内网有7个用户、4台主机、41个组,2个sessions,411条ACLs、472个关系。

内网渗透(十六) | 域分析工具BloodHound的使用


内网渗透(十六) | 域分析工具BloodHound的使用


查询信息

进入查询模块,可以看到预定义的12个常用查询条件

内网渗透(十六) | 域分析工具BloodHound的使用
  1. Find all Domain Admins:查询所有域管理员

  2. Find Shortest Paths to Domain Admins:查找到达域管理员的最短路径

  3. Find Principals with DCSync Rights:查找具有DCSync权限的主体

  4. Users with Foreign Domain Group Membership:具有外部域组成员身份的用户

  5. Groups with Foreign Domain Group Membership:具有外部域组成员身份的组

  6. Map Domain Trusts:映射域信任

  7. Shortest Paths to Unconstrained Delegation Systems:无约束委托系统的最短路径

  8. Shortest Paths from Kerberoastable Users:Kerberoastable用户的最短路径

  9. Shortest Paths to Domain Admins from kerberoastable Users:从Kerberoathable用户到域管理员的最短路径

  10. Shortest Path from Owned Principals:拥有主体的最短路径

  11. Shortest Paths to Domain Admins from Owned Principals:从所属主体到域管理员的最短路径

  12. Shortest Paths to High Value Targets:高价值目标的最短路径

内网渗透(十六) | 域分析工具BloodHound的使用

本文所需工具,关注公众号:asjeiss ,后台回复:BloodHound 即可获取下载链接

内网渗透(十六) | 域分析工具BloodHound的使用

内网渗透(十六) | 域分析工具BloodHound的使用

内网渗透 | 红蓝对抗:Windows利用WinRM实现端口复用打造隐蔽后门

内网渗透(十五) | psexec工具使用浅析(admin$)

内网渗透(十四) | 工具的使用|Impacket的使用

内网渗透(十三) | WinRM远程管理工具的使用

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十一) | 哈希传递攻击(Pass-the-Hash,PtH)

技术干货 | 工具:Social engineering tookit 钓鱼网站

技术干货 | 工具的使用:CobaltStrike上线Linux主机(CrossC2)

内网渗透(十) | 票据传递攻击

内网渗透(九) | Windows域的管理

内网渗透(八) | 内网转发工具的使用

内网渗透 | 域内用户枚举和密码喷洒攻击(Password Spraying)

内网渗透(七) | 内网转发及隐蔽隧道:网络层隧道技术之ICMP隧道(pingTunnel/IcmpTunnel)

内网渗透(六) | 工作组和域的区别

内网渗透(五) | AS-REP Roasting攻击

内网渗透 | 内网穿透工具FRP的使用
内网渗透(四) | 域渗透之Kerberoast攻击_Python
内网渗透(三) | 域渗透之SPN服务主体名称
内网渗透(二) | MSF和CobaltStrike联动
内网渗透 | 域内认证之Kerberos协议详解
内网渗透(一) | 搭建域环境


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: