BloodHound & Other AD Enum Tools
AD Explorer
AD Explorer pochodzi z pakietu Sysinternal Suite:
Zaawansowany przeglądarka i edytor Active Directory (AD). Możesz używać AD Explorera do łatwego nawigowania po bazie danych AD, definiowania ulubionych lokalizacji, przeglądania właściwości i atrybutów obiektów bez otwierania okien dialogowych, edytowania uprawnień, przeglądania schematu obiektu oraz wykonywania zaawansowanych wyszukiwań, które można zapisać i ponownie wykonać.
Zrzuty
AD Explorer może tworzyć zrzuty AD, dzięki czemu można je sprawdzić w trybie offline. Może być używany do wykrywania podatności w trybie offline lub porównywania różnych stanów bazy danych AD w różnych momentach czasu.
Do utworzenia zrzutu AD przejdź do Plik
--> Utwórz zrzut
i wprowadź nazwę dla zrzutu.
ADRecon
ADRecon to narzędzie, które wyodrębnia i łączy różne artefakty z środowiska AD. Informacje mogą być prezentowane w specjalnie sformatowanym raporcie Microsoft Excel, który zawiera widoki podsumowujące z metrykami ułatwiające analizę i dostarczające holistycznego obrazu aktualnego stanu docelowego środowiska AD.
BloodHound
Z https://github.com/BloodHoundAD/BloodHound
BloodHound to jednostronicowa aplikacja internetowa napisana w języku JavaScript, oparta na Linkurious, skompilowana przy użyciu Electron, z bazą danych Neo4j, zasilaną przez kolektor danych napisany w języku C#.
BloodHound wykorzystuje teorię grafów do odkrywania ukrytych i często niezamierzonych zależności w środowisku Active Directory lub Azure. Atakujący mogą użyć BloodHound do łatwego zidentyfikowania bardzo skomplikowanych ścieżek ataku, które w przeciwnym razie byłoby trudno szybko zidentyfikować. Obrońcy mogą użyć BloodHound do identyfikacji i eliminacji tych samych ścieżek ataku. Zarówno niebieskie, jak i czerwone zespoły mogą używać BloodHound do łatwego zdobycia głębszego zrozumienia relacji uprawnień w środowisku Active Directory lub Azure.
Więc Bloodhound to niesamowite narzędzie, które może automatycznie wyliczać domenę, zapisywać wszystkie informacje, znajdować możliwe ścieżki eskalacji uprawnień i pokazywać wszystkie informacje za pomocą grafów.
Bloodhound składa się z 2 głównych części: ingestorów i aplikacji do wizualizacji.
Ingestory są używane do wyliczenia domeny i wydobycia wszystkich informacji w formacie, który aplikacja do wizualizacji będzie rozumiała.
Aplikacja do wizualizacji używa neo4j do pokazania, jak wszystkie informacje są ze sobą powiązane i do pokazania różnych sposobów eskalacji uprawnień w domenie.
Instalacja
Po utworzeniu BloodHound CE cały projekt został zaktualizowany, aby ułatwić korzystanie z Docker. Najprostszym sposobem na rozpoczęcie jest użycie prekonfigurowanej konfiguracji Docker Compose.
Zainstaluj Docker Compose. Powinien być dołączony do instalacji Docker Desktop.
Uruchom:
Zlokalizuj losowo wygenerowane hasło w wynikach terminala Docker Compose.
W przeglądarce przejdź do http://localhost:8080/ui/login. Zaloguj się używając nazwy użytkownika admin oraz losowo wygenerowanego hasła z logów.
Po tym będziesz musiał zmienić losowo wygenerowane hasło i będziesz miał gotowy nowy interfejs, z którego możesz bezpośrednio pobrać narzędzia do przetwarzania danych.
SharpHound
Mają kilka opcji, ale jeśli chcesz uruchomić SharpHound z komputera podłączonego do domeny, używając swojego obecnego użytkownika i wydobyć wszystkie informacje, możesz to zrobić:
Więcej informacji na temat CollectionMethod i sesji pętli można znaleźć tutaj
Jeśli chcesz uruchomić SharpHound przy użyciu innych poświadczeń, możesz utworzyć sesję CMD netonly i uruchomić SharpHound stamtąd:
Dowiedz się więcej o Bloodhound na stronie ired.team.
Group3r
Group3r to narzędzie do znajdowania podatności w Active Directory związanych z Group Policy. Musisz uruchomić group3r z hosta znajdującego się w domenie, używając dowolnego użytkownika domeny.
PingCastle
PingCastle ocenia stan bezpieczeństwa środowiska AD i dostarcza ładny raport z wykresami.
Aby go uruchomić, można wykonać plik binarny PingCastle.exe
, co spowoduje uruchomienie sesji interaktywnej, która przedstawi menu opcji. Domyślną opcją do użycia jest healthcheck
, który ustanowi podstawowy przegląd domeny i znajdzie błędy konfiguracji oraz luki w zabezpieczeniach.
Last updated