安全技术|BloodHound 使用指南 – 作者:dadadadudu

作者:锦行-夜影实验室(安全平台部)-randall

BloodHound是一种单页的JavaScript的Web应用程序,能显示Active Directory环境中隐藏的和相关联的主机内容。攻击者常使用BloodHound识别高度复杂的攻击路径,防御者亦可借助其识别和防御相同的攻击路径。本文由锦行科技的安全研究团队提供,旨在帮助大家深入了解BloodHound工具的使用。

1、环境配置

1.1 Neo4j

BloodHound 使用neo4j数据库,需要配备java环境。

国内的neo4j下载地址,版本建议使用3.5.*版本,因为BloodHound-Tools不兼容4.*版本,生成测试数据时会报错

neo4j-chs-community-3.5.19下载完之后,进入bin目录下,执行命令

neo4j.bat console

图片[1]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

可以看到neo4j成功启动了

有一点需要注意的是,在win7的低版本的powershell中,会出现未能加载Neo4j-Management.psd1模块的情况,所以需要使用desktop版本的neo4j

desktop版本安装好后新建一个local database,设置密码为neo4jj ,版本选择3.5.19 ,创建成功后启动neo4j

 

1.2 BloodHound

去github下载最新版本的bloodhound,如果github下载速度太慢可以用gitee上的镜像仓库加速下载

使用neo4j的账户密码登录,默认账户是neo4j,密码用刚刚我们设置的密码neo4jj

图片[2]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

1.3 BloodHound-Toools

创建一个随机的数据集,用来测试和分析BloodHound,项目地址在这里

https://github.com/BloodHoundAD/BloodHound-Tools/tree/master/DBCreator

需要python3.7+的版本和neo4j驱动程序,并且需要注意的是,该脚本仅适用于BloodHound 3.0.0及更高版本,且不适配neo4j 4.*版本的数据库

可以使用pip安装neo4j驱动程序:

pip install neo4j-driver

或者 

pip install -r requirements.txt

  • dbconfig – 设置数据库连接信息

  • connect – 连接到数据库

  • setnodes – 设置要生成的节点数(默认为500)

  • setdomain – 设置域的名称

  • cleardb – 清空数据库并设置正确的模式

  • generate – 在数据库中创建随机数据

  • clear_and_generate – 连接数据库,清空数据库,设置模式以及创建随机数据

  • help – 获取帮助

  • exit – 退出

图片[3]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

dbconfig命令默认的账户密码为neo4j/neo4jj ,如果你的数据库密码不是这个,建议在 DBCreator.py 的第48行将默认密码改为你现在的数据库密码,然后使用 clear_and_generate 一键生成随机数据

 图片[4]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

 

2、数据收集

使用BloodHound自带的工具进行数据收集,工具链接在这里:

https://github.com/BloodHoundAD/BloodHound/tree/master/Ingestors

.\SharpHound.exe

 图片[5]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

 按照默认的方式收集Container, Group, LocalGroup, GPOLocalGroup,Session, LoggedOn, ObjectProps, ACL, ComputerOnly, Trusts, Default, RDP, DCOM, DCOnly 的数据,也可以用 -c 参数指定要收集的数据类型,如 -c Session,RDP,ACL

常见用法

循环收集2小时12分23秒,循环间隔20分钟,若不指定Loopduration,则默认循环2个小时

.\SharpHound.exe –Loop –Loopduration 02:12:23 –LoopInterval 00:20:0

指定输出路径为C:test\

.\SharpHound.exe –OutputDirectory C:\test\

指定域

.\SharpHound.exe -d hacklan.com

 

3 BloodHould

3.1 BloodHould界面

BloodHound 的左上角界面

图片[6]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科其中 更多信息 页面,包含了数据库信息,节点信息以及查询这几大块。

图片[7]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科搜索 可以将搜索范围指定为特定节点类型,如

Group
Domain
Computer
User
OU
GPO

比如我要搜索类型为computer中的00351号,输入 computer:00351 ,其他的也同理
图片[8]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

搜索 还有个高级用法,pathfinding路径搜索,这种搜索方式极为强悍,直接搜索该节点到目标节点路径,假设我们拿下了COMP00041.TESTLAB.LOCAL ,想要知道该节点到达高价值目标DOMAIN [email protected] 的路径,用下面的方式搜索,会自动规划好一条到达目标的最短路线。
图片[9]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
Edge 类型过滤 选择是否显示该 Edge ,默认全部显示,如果你取消了某种Edge,那么在进行新的查询之后将不会显示与该Edge有关的结果
图片[10]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
界面右边的控件说明
图片[11]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
导出图表 可以导出为 JSON 和 Image 两种格式;
上传数据 主要上传前面收集到的数据,可以通过这个按钮来上传,也可以直接拖数据到主页面上传;
图片[12]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
节点崩溃阈值 默认是5,0是关闭;
Edge标签显示 和 节点标签显示 有三种选择,分别是Threshold Display、Always Display、Never Display,而Threshold Display意味着当你放大到临界点时才显示,按CTRL可快速切换不同的节点标签显示方式;
查询Debug模式 转储查询语句并输出到界面正下方Raw Query中;
还有一个空格快捷键,按下空格键将调出Spotlight窗口,
图片[12]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
会列出当前绘制的所有节点,单击列表中的一个节点,将放大并简要突出显示该节点。
鼠标右键空白处时,会弹出以下内容
图片[14]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
鼠标右键任一节点时,会弹出以下内容
图片[15]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
认真看每个节点时,可能会发现有些节点和别的不太一样,有些有钻石图标还有靶子的图标,那些是什么意思呢?
图片[16]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
蓝色位置图标意味着这是开始节点 ;
白色骷髅头说明是已拥有节点;
红色靶子图标是目标节点;
钻石图标则是高价值目标;

02 节点

点击节点时,可以看到 Node Info 处的节点信息

节点又细分为6种,分别是Users用户、Groups组、Computers计算机、Domain域、GPOs组策略对象、OUs组织单位;
图片[17]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

 

而用户的节点部分信息如下:
图片[18]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

 

第一行的[email protected]中的SMALLIS00368是SAM账户名,TESTLAB.LOCAL是该用户所在域的域名。
Sessions
该用户登录的计算机数量
Reachable High Value Targets
用户可到达高价值目标数量,默认的高价值目标是域管理员,域控制器和其他几个高特权Active Directory组的任何计算机或用户

节点属性
– Object ID
用户的SID
– Password Last Changed
密码上次更改的日期
– Last Logon
用户最后一次登录的时间
– Enabled
是否在活动目录中启用该用户
– Compromised
是否标记为拥有

组成员
– First Degree Group Memberships
此用户所属的组
– Unrolled Group Memberships
用户显式所属的组已添加到这些组
– Foreign Group Memberships
用户所属的其他AD域中的组

本地管理员权限
– First Degree Local Admin
用户被添加到本地管理员组中的计算机数,被添加到N台计算机的本地管理员组中,则数量为N
– Group Delegated Local Admin Rights
用户通过安全组委派从而拥有本地管理员权限的计算机数
– Derivative Local Admin Rights
用户具有派生本地管理员权限的计算机数量

图片[18]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

 

执行特权
– First Degree RDP Privileges
已将此用户添加到本地“远程桌面用户”组的计算机数
– Group Delegated RDP Privileges
该用户通过安全组委派拥有远程桌面登录权限的计算机数
– First Degree DCOM Privileges
已将此用户添加到本地”Distributed COM Users”组的计算机数
– Group Delegated DCOM Privileges
该用户具有组委派DCOM权限的计算机数
– SQL Admin Rights
用户在MSSQL上被授予SA特权的计算机的数量
– Constrained Delegation Privileges
信任此用户执行约束委派的计算机的数量

出站对象控制
– First Degree Object Control
用户可以在不依赖安全组委派的情况下控制的活动目录中的对象数
– Group Delegated Object Control
用户通过安全组委派控制的对象数
– Transitive Object Control
在活动目录中执行仅基于ACL的攻击,此用户可以控制的对象数。也就是说,用户只需操纵目录中的对象,即可获得控制权的最大对象数

入站对象控制
– Explicit Object Controllers
直接控制此用户的用户、组或计算机的数量
– Unrolled Object Controllers
通过安全组委派控制此对象的主体的实际数量
– Transitive Object Controllers
活动目录中可以通过基于ACL的攻击实现对该对象的控制的对象数

组节点比用户节点多了个Group Members ,虽然与Group Membership都是组成员的意思,但Group Membership更偏向于组成员之间的一种关系,Group Members则仅仅指成员这一部分。

图片[20]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
– Direct Members
添加到该组的成员数量
– Unrolled Members
属于该组的实际用户数
– Foreign Members
属于该组的其他域的用户数

 

计算机节点则是将 Execution Privileges 细分成了Inbound Execution Privileges 和 Outbound Execution Privileges ,Outbound Execution Privileges 则与原来的 Execution Privileges 相似,
图片[21]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

 

入站执行特权
– First Degree Remote Desktop Users
被添加到本地的远程桌面用户组的主体数量
– Group Delegated Remote Desktop Users
组委派的具有RDP权限的用户数量
– First Degree Distributed COM Users
添加到本地“Distributed COM Users”组的主体数量
– Group Delegated Distributed COM Users
具有嵌套组成员身份访问此系统的DCOM的用户数
– SQL Admins
在此系统运行的MSSQL实例上具有SA特权的用户数

组策略对象GPOs有个Affected Objects
图片[21]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
– Directly Affected OUs
GPO连接到域/OU的数量
– Affected OUs
受GPO影响的OU数量
– Computer Objects
适用GPO的计算机数
– User Objects
适用GPO的用户数

 

组织单位OUs的Extra Properties里有个blocksInheritance,是否阻止组策略实施继承的意思,在未强制执行GPLink的情况下,一旦阻止继承,则GPO不会应用在与其链接的OU和所有的子对象上。

图片[23]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

– GPOs Directly Affecting This OU
直接链接到这个OU的GPO数

– GPOs Affecting This OU
直接或者间接应用于此OU的GPO数量

– Total User Objects
此OU包括子OU的所有用户总数

– Total Group Objects
此OU的安全组数

– Total Computer Objects
此OU下的计算机对象数

– Sibling Objects within OU
此OU的同级对象总数

03EDGE

默认Edge
MemberOf 此节点是上一节点的成员,由末端指向上的尖端,如图,所有的域管理员属于域管理员组。
图片[24]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
HasSession
用户与计算机时进行会话时,凭据会保留在内存中,可用LSASS注入或者凭据转储来获取用户凭据,图中该用户在两台计算机上存在会话。
图片[25]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科
AdminTo
末端是尖端的本地管理员,本地管理员对这台计算机的管理权限比较大,下面的这个用户组是前一台计算机的本地管理员
图片[26]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

ACL Edges
– AllExtendedRights
扩展权限是授予对象的特殊权限,这些对象允许读取特权属性以及执行特殊操作;如果对象是用户,则可以重置用户密码;如果是组,则可以修改组成员;如果是计算机,则可以对该计算机执行基于资源的约束委派
– AddMember
可以向目标安全组添加任意成员
– ForceChangePassword
可以任意重置目标用户密码
– GenericAll
可以完全控制目标对象
– GenericWrite
写入权限,修改目标的属性或者将主体添加入组等
– Owns
保留修改 security descriptors 的能力,会忽略DACL权限的限制
– WriteDacl
可写入目标DACL,修改DACL访问权
– WriteOwner
保留修改 security descriptors 的能力,会忽略DACL权限的限制
– ReadLAPSPassword
读取LAPS上的本地管理员凭证
– ReadGMSAPassword
读取GMSA上的本地管理员凭证

Containers
– Contains
可以在OU上添加一个新的ACE,它将继承到该OU下的所有子对象上,比如说在OU上应用GenericAll ACE ,那么所有子对象都将继承GenericAll属性
– GpLink
将其设置为链接容器中的对象

特殊 Edges
– CanRDP
用远程桌面进行会话
– CanPSRemote
用PowerShell进行会话
– ExecuteDCOM
实例化目标的COM对象并调用其方法,可以在特定条件下执行代码
– AllowedToDelegate
有这个特权的节点可以将任何域主体(包括Domain Admins)模拟到目标主机上的特定服务
– AddAllowedToAct
可以控制任意的安全主体伪装为特定计算机的任何域用户
– AllowedToAct
可以使用此用户滥用S4U2self / S4U2proxy进程,将任何域用户模拟到目标计算机系统,并以“该 用户”身份接收有效的服务票证
– SQLAdmin
该用户是目标计算机的MSSQL管理员
– HasSIDHistory
用户的SID历史记录,用户在域迁移后,票据还包含着前域所在组的SID,虽然用户不属于前域,但仍拥有前域的权限

04 内置查询语句

  • Find all Domain Admins
    找出所有域管理员
  • Find Shortest Paths to Domain Admins
    找出域管理员的最短路径
  • Find Principals with DCSync Rights
    查找具有DCSync权限的主体
  • Users with Foreign Domain Group Membership
    具有外部域组成员资格的用户
  • Groups with Foreign Domain Group Membership
    具有外部域组成员资格的组
  • Map Domain Trusts
    映射域信任关系
  • Shortest Paths to Unconstrained Delegation Systems
    到无约束委托系统的最短路径
  • Shortest Paths from Kerberoastable Users
    到支持kerberos的用户的最短路径
  • Shortest Paths to Domain Admins from Kerberoastable Users
    从支持kerberos的用户到域管理员的最短路径
  • Shortest Path from Owned Principals
    从所属主体获取的最短路径
  • Shortest Paths to Domain Admins from Owned Principals
    从已拥有的主体到域管理员的最短路径
  • Shortest Paths to High Value Targets
    通往高价值目标的最短路径
  • Find Computers where Domain Users are Local Admin
    找出域用户是本地管理员的计算机
  • Shortest Paths from Domain Users to High Value Targets
    从域用户到高值目标的最短路径
  • Find All Paths from Domain Users to High Value Targets
    找出所有从域用户到高价值目标的路径
  • Find Workstations where Domain Users can RDP
    找出域用户使用RDP登录的工作站
  • Find Servers where Domain Users can RDP
    找出域用户使用RDP登录的服务器
  • Find Dangerous Rights for Domain Users Groups
    找出域用户组的高危权限
  • Find Kerberoastable Members of High Value Groups
    找出属于高价值组的可支持kerberos的成员
  • List all Kerberoastable Accounts
    列出所有可支持kerberos的帐户
  • Find Kerberoastable Users with most privileges
    查找具有最多特权的且可支持kerberos的用户
  • Find Domain Admin Logons to non-Domain Controllers
    找出非域控制器的域管理登录
  • Find Computers with Unsupported Operating Systems
    查找不支持操作系统的计算机
  • Find AS-REP Roastable Users (DontReqPreAuth)
    找出支持AS-REP的用户

05 案例

假设我们已经控制了COMP00311.TESTLAB.LOCAL,目标节点则是DOMAIN [email protected],使用预定义的查询语句Shortest Paths to Domain Admins from Owned Principals,查找从已拥有的主体到域管理员的最短路径

图片[27]-安全技术|BloodHound 使用指南 – 作者:dadadadudu-安全小百科

 

从图片上看,我们已经拥有了针对域管的进攻路线,计算机节点COMP00311.TESTLAB.LOCAL与用户[email protected]之间存在HasSession的关系,可以使用 PTH哈希传递攻击 获取用户[email protected]的权限,而该用户又属于[email protected]组,这个组是计算机COMP00276.TESTLAB.LOCAL的本地管理员组,所以说用户[email protected]就是计算机COMP00276.TESTLAB.LOCAL的本地管理员,然而这台计算机上存在用户[email protected]的会话,所以使用PTH攻击获取该用户的权限,而这个用户又属于DOMAIN [email protected]组,所以用户[email protected]就是域管理用户,所以我们就拿到了域管理权限。

 

来源:freebuf.com 2020-08-13 15:59:18 by: dadadadudu

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论