首页 > 其他分享> > BloodHound分析域结构

BloodHound分析域结构

2022-02-25 01:31:07 作者：互联网

BloodHound分析域结构

导出域结构

SharpHound.exe -c all #可指定all到处所有信息
SharpHound.exe -c session # 枚举会话
SharpHound.exe -c all --OutputDirectory C:\ #导入出到指定目录
SharpHound.exe -d test.org # 导出指定域
.\SharpHound.ps1 Invoke-BloodHound -CollectionMethod All -JSONFolder "c:\"

可以用 -c 参数指定要收集的数据类型，如 -c Session,RDP,ACL

导出后生成时间戳命名的压缩包文件

界面

选择Filter处过滤类型

搜索功能

搜索可以将搜索范围指定为特定节点类型，如

Group
Domain
Computer
User
OU
GPO

比如试试it机器

pathfinding路径搜索

设置目前所在节点和目标节点，BloodHound会自动规划好一条到达目标的最短路线

节点

绿色用户头像：用户
三个黄色头像：用户组
红色小电脑：计算机
绿色小地球：域

鼠标右键任一节点时，会弹出以下内容

蓝色位置图标意味着这是开始节点；
白色骷髅头说明是已拥有节点；
红色靶子图标是目标节点；
钻石图标则是高价值目标；

并且可以右击连接的线条来进行帮助查看

内置查询语句

Find all Domain Admins
找出所有域管理员
Find Shortest Paths to Domain Admins
找出域管理员的最短路径
Find Principals with DCSync Rights
查找具有DCSync权限的主体
Users with Foreign Domain Group Membership
具有外部域组成员资格的用户
Groups with Foreign Domain Group Membership
具有外部域组成员资格的组
Map Domain Trusts
映射域信任关系
Shortest Paths to Unconstrained Delegation Systems
到无约束委托系统的最短路径
Shortest Paths from Kerberoastable Users
到支持kerberos的用户的最短路径
Shortest Paths to Domain Admins from Kerberoastable Users
从支持kerberos的用户到域管理员的最短路径
Shortest Path from Owned Principals
从所属主体获取的最短路径
Shortest Paths to Domain Admins from Owned Principals
从已拥有的主体到域管理员的最短路径
Shortest Paths to High Value Targets
通往高价值目标的最短路径
Find Computers where Domain Users are Local Admin
找出域用户是本地管理员的计算机
Shortest Paths from Domain Users to High Value Targets
从域用户到高值目标的最短路径
Find All Paths from Domain Users to High Value Targets
找出所有从域用户到高价值目标的路径
Find Workstations where Domain Users can RDP
找出域用户使用RDP登录的工作站
Find Servers where Domain Users can RDP
找出域用户使用RDP登录的服务器
Find Dangerous Rights for Domain Users Groups
找出域用户组的高危权限
Find Kerberoastable Members of High Value Groups
找出属于高价值组的可支持kerberos的成员
List all Kerberoastable Accounts
列出所有可支持kerberos的帐户
Find Kerberoastable Users with most privileges
查找具有最多特权的且可支持kerberos的用户
Find Domain Admin Logons to non-Domain Controllers
找出非域控制器的域管理登录
Find Computers with Unsupported Operating Systems
查找不支持操作系统的计算机
Find AS-REP Roastable Users (DontReqPreAuth)
找出支持AS-REP的用户

CL Edges

AllExtendedRights
扩展权限是授予对象的特殊权限，这些对象允许读取特权属性以及执行特殊操作；如果对象是用户，则可以重置用户密码；如果是组，则可以修改组成员；如果是计算机，则可以对该计算机执行基于资源的约束委派
AddMember
可以向目标安全组添加任意成员
ForceChangePassword
可以任意重置目标用户密码
GenericAll
可以完全控制目标对象
GenericWrite
写入权限，修改目标的属性或者将主体添加入组等
Owns
保留修改 security descriptors 的能力，会忽略DACL权限的限制
WriteDacl
可写入目标DACL，修改DACL访问权
WriteOwner
保留修改 security descriptors 的能力，会忽略DACL权限的限制
ReadLAPSPassword
读取LAPS上的本地管理员凭证
ReadGMSAPassword
读取GMSA上的本地管理员凭证

特殊 Edges

CanRDP
用远程桌面进行会话
CanPSRemote
用PowerShell进行会话
ExecuteDCOM
实例化目标的COM对象并调用其方法，可以在特定条件下执行代码
AllowedToDelegate
有这个特权的节点可以将任何域主体（包括Domain Admins）模拟到目标主机上的特定服务
AddAllowedToAct
可以控制任意的安全主体伪装为特定计算机的任何域用户
AllowedToAct
可以使用此用户滥用S4U2self / S4U2proxy进程，将任何域用户模拟到目标计算机系统，并以“该用户”身份接收有效的服务票证
SQLAdmin
该用户是目标计算机的MSSQL管理员
HasSIDHistory
用户的SID历史记录，用户在域迁移后，票据还包含着前域所在组的SID，虽然用户不属于前域，但仍拥有前域的权限

看到上图，表面该组策略能具有DCSyn权限

再看到上图中该组策略下用户具有WriteDacl权限可以修改ACL来对这个域dcsync攻击了

#添加ACE的命令如下：
Add-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test1 -Rights DCSync -Verbose

lsadump::dcsync /domain:test.com /all /csv

#删除ACE的命令：
Remove-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test1 -Rights DCSync -Verbose

找到有一个GenricWrite。代表该用户对这个机器有写入的权限。也就是可以造成资源委派

Sessions
该用户登录的计算机数量
Reachable High Value Targets
用户可到达高价值目标数量，默认的高价值目标是域管理员，域控制器和其他几个高特权Active Directory组的任何计算机或用户

节点属性

Object ID
用户的SID
Password Last Changed
密码上次更改的日期
Last Logon
用户最后一次登录的时间
Enabled
是否在活动目录中启用该用户
Compromised
是否标记为拥有

组成员

First Degree Group Memberships
此用户所属的组
Unrolled Group Memberships
用户显式所属的组已添加到这些组
Foreign Group Memberships
用户所属的其他AD域中的组

本地管理员权限

First Degree Local Admin
用户被添加到本地管理员组中的计算机数，被添加到N台计算机的本地管理员组中，则数量为N
Group Delegated Local Admin Rights
用户通过安全组委派从而拥有本地管理员权限的计算机数
Derivative Local Admin Rights
用户具有派生本地管理员权限的计算机数量

参考

https://www.freebuf.com/articles/web/288370.html

标签：分析,Domain,BloodHound,Users,用户,管理员,权限,Find,结构
来源： https://www.cnblogs.com/nice0e3/p/15934243.html