前言

BloodHound這個工具能夠幫助使用者更了解windows作業系統下，AD的樹裝圖，更了解主機的使用者層級及分佈。

正文

這個範例我以靶機Forest為例，目前已取得使用者svc_alfersco的權限，現在要利用AD進行提權，拿到root.txt。

透過nmap的結果已經知道目標主機的domain為htb.local。

接著，在kali安裝bloodhound。

sudo apt update && sudo apt install -y bloodhound

成功後，就能在本機看到這個軟體，在登入之前須先在終端機開啟neo4j。

sudo neo4j console

開啟完成後，它預設的帳號密碼為neo4j:neo4j，進行登入。

現在，python裡已有bloodhound套件，無需進入目標的終端機能夠提取目標主機的使用者、群組、電腦等資訊。

pip install bloodhound

bloodhound-python -d htb.local -u svc-alfresco -p s3rvice -gc forest.htb.local -c all -ns 10.10.10.161

-d 設置網域，-u設置登入的使用者，-p設置登入密碼，-gc設置主機，-c設置要收集的方法，包含Group、LocalAdmin、Session、Trusts、Default (all previous)、DCOnly (no computer connections)、DCOM、RDP、PSRemote、LoggedOn、Container、ObjectProps、ACL、All，-ns設置名稱伺服器。
執行完成後，就會輸出幾個json檔，將這些檔案上傳bloodhound。

先點選上傳檔案的圖示並選取所有的json檔

接著，依順序指示點選，秀出到網域admin的最短路徑。

在搜尋列表輸入svc，找出我們當前獲得存取權使用者的位置。

從圖表可以得知，如果想要提權至domain admin必須要到privileged IT account。

今天介紹bloodhound到此結束，謝謝：）

補充

• bloodhound kali 操作手冊
• bloodhound python github repository