BloodHound這個工具能夠幫助使用者更了解windows作業系統下,AD的樹裝圖,更了解主機的使用者層級及分佈。
這個範例我以靶機Forest為例,目前已取得使用者svc_alfersco的權限,現在要利用AD進行提權,拿到root.txt。
透過nmap的結果已經知道目標主機的domain為htb.local。
接著,在kali安裝bloodhound。
sudo apt update && sudo apt install -y bloodhound
成功後,就能在本機看到這個軟體,在登入之前須先在終端機開啟neo4j。
sudo neo4j console
開啟完成後,它預設的帳號密碼為neo4j:neo4j,進行登入。
現在,python裡已有bloodhound套件,無需進入目標的終端機能夠提取目標主機的使用者、群組、電腦等資訊。
pip install bloodhound
bloodhound-python -d htb.local -u svc-alfresco -p s3rvice -gc forest.htb.local -c all -ns 10.10.10.161
-d
設置網域,-u
設置登入的使用者,-p
設置登入密碼,-gc
設置主機,-c
設置要收集的方法,包含Group、LocalAdmin、Session、Trusts、Default (all previous)、DCOnly (no computer connections)、DCOM、RDP、PSRemote、LoggedOn、Container、ObjectProps、ACL、All,-ns
設置名稱伺服器。
執行完成後,就會輸出幾個json檔,將這些檔案上傳bloodhound。
先點選上傳檔案的圖示並選取所有的json檔
接著,依順序指示點選,秀出到網域admin的最短路徑。
在搜尋列表輸入svc,找出我們當前獲得存取權使用者的位置。
從圖表可以得知,如果想要提權至domain admin必須要到privileged IT account。
今天介紹bloodhound到此結束,謝謝:)