killvxk/conducting-internal-reconnaissance-with-bloodhound-ce

使用 BloodHound CE 进行内部侦察

概述

BloodHound 社区版（CE）是由 SpecterOps 开发的现代化基于 Web 的活动目录侦察平台，使用图论来揭示 AD 环境中隐藏的关系和攻击路径。与传统 BloodHound 应用不同，BloodHound CE 使用带有专用图数据库的 PostgreSQL 后端，提供更好的性能、现代化的 Web UI 和增强的 API 能力。红队使用 BloodHound CE 收集 AD 对象、ACL、会话、组成员关系和信任关系，然后可视化从低权限账户到高价值目标（如域管理员）的攻击路径。SharpHound 收集器（CE 版使用 v2）从活动目录收集数据，而 AzureHound 则从 Azure AD / Entra ID 环境收集数据。

目标

• 使用 Docker Compose 部署 BloodHound CE 服务器
• 使用 SharpHound v2 或 BloodHound.py 收集 AD 数据
• 将收集的数据导入 BloodHound CE 进行图分析
• 识别从已控制主体到域管理员的最短攻击路径
• 发现基于 ACL 的攻击路径、Kerberoastable 账户和委派滥用
• 执行自定义 Cypher 查询进行高级攻击路径分析
• 生成攻击路径报告用于演练记录

MITRE ATT&CK 映射

• T1087.002 - 账户发现：域账户
• T1069.002 - 权限组发现：域组
• T1482 - 域信任发现
• T1615 - 组策略发现
• T1018 - 远程系统发现
• T1033 - 系统所有者/用户发现
• T1016 - 系统网络配置发现

实施步骤

阶段一：BloodHound CE 部署

1. 使用 Docker Compose 部署 BloodHound CE：

   curl -L https://ghst.ly/getbhce -o docker-compose.yml
   docker compose pull
   docker compose up -d
   

2. 访问 Web 界面：https://localhost:8080
3. 使用默认管理员凭据登录（显示在 Docker 日志中）：

   docker compose logs | grep "Initial Password"
   

4. 立即修改默认管理员密码

阶段二：使用 SharpHound v2 收集数据

1. 将 SharpHound v2 传输到已控制的 Windows 主机：

   # 执行全量收集
   .\SharpHound.exe -c All --outputdirectory C:\Temp
   
   # 仅 DC 收集（仅 LDAP，更隐蔽）
   .\SharpHound.exe -c DCOnly
   
   # 会话收集，用于映射已登录用户
   .\SharpHound.exe -c Session --loop --loopduration 02:00:00
   
   # 从特定域收集
   .\SharpHound.exe -c All -d child.domain.local
   

2. 替代方案：从 Linux 使用 BloodHound.py：

   bloodhound-python -u user -p 'Password123' -d domain.local -ns 10.10.10.1 -c All
   

3. 将生成的 ZIP 文件导出到分析工作站

阶段三：数据导入与初步分析

1. 通过 BloodHound CE Web 界面上传收集的数据（文件摄入）
2. 在界面中将已控制的账户标记为"Owned"
3. 运行内置分析查询：
   • 到域管理员的最短路径
   • 具有到 DA 路径的 Kerberoastable 用户
   • AS-REP Roastable 用户
   • 具有 DCSync 权限的用户
   • 具有非约束委派的计算机

阶段四：自定义 Cypher 查询

1. 在 BloodHound CE 搜索栏中执行自定义 Cypher 查询：

   // 查找从已控制主体到域管理员的最短路径
   MATCH p=shortestPath((n {owned:true})-[*1..]->(m:Group {name:"DOMAIN [email protected]"}))
   RETURN p
   
   // 查找具有到 DA 路径的 Kerberoastable 用户
   MATCH (u:User {hasspn:true})
   MATCH p=shortestPath((u)-[*1..]->(g:Group {name:"DOMAIN [email protected]"}))
   RETURN p
   
   // 查找具有 DA 成员会话的计算机
   MATCH (c:Computer)-[:HasSession]->(u:User)-[:MemberOf*1..]->(g:Group {name:"DOMAIN [email protected]"})
   RETURN c.name, u.name
   
   // 查找基于 ACL 的攻击路径（GenericAll, WriteDACL, GenericWrite）
   MATCH p=(u:User)-[:GenericAll|GenericWrite|WriteDacl|WriteOwner|ForceChangePassword*1..]->(t)
   WHERE u.owned = true
   RETURN p
   
   // 查找可以 DCSync 的用户
   MATCH (u)-[:MemberOf*0..]->()-[:DCSync|GetChanges|GetChangesAll*1..]->(d:Domain)
   RETURN u.name, d.name
   
   // 查找有 LAPS 但非管理员可读的计算机
   MATCH (c:Computer {haslaps:true})
   MATCH p=(u:User)-[:ReadLAPSPassword]->(c)
   RETURN p
   

阶段五：攻击路径优先级排序

1. 按以下标准对已识别的攻击路径评分：
   • 跳数（越少 = 优先级越高）
   • 隐蔽性要求（避免嘈杂的技术）
   • 每一跳的工具可用性
   • 每个步骤的检测可能性
2. 为优先级最高的路径制定执行计划
3. 识别攻击链中每个步骤所需的工具
4. 为每种技术规划 OPSEC 注意事项

工具与资源

| 工具 | 用途 | 平台 | |------|---------|----------| | BloodHound CE | 基于 Web 的图分析平台 | Docker | | SharpHound v2 | AD 数据收集（.NET，用于 CE） | Windows | | BloodHound.py | AD 数据收集（Python） | Linux | | AzureHound | Azure AD / Entra ID 数据收集 | 跨平台 | | PlumHound | 自动化 BloodHound 报告 | Python | | BloodHound 查询库 | 社区 Cypher 查询存储库 | Web |

关键攻击路径类型

| 路径类型 | 描述 | 示例 | |-----------|-------------|---------| | ACL 滥用 | 利用错误配置的 ACL | DA 组上的 GenericAll | | Kerberoasting | 破解服务账户密码 | SPN 账户 → DA | | AS-REP Roasting | 攻击不需要预认证的账户 | 无预认证用户 → 密码破解 | | 委派滥用 | 利用非约束/约束委派 | 计算机 → 模拟 DA | | GPO 滥用 | 修改应用于特权 OU 的 GPO | GPO 写入 → DA 上代码执行 | | 会话劫持 | 利用已控制主机上的 DA 会话 | 管理员会话 → 令牌窃取 |

验证标准

• [ ] BloodHound CE 已部署并可访问
• [ ] 已从范围内所有域收集 SharpHound v2 数据
• [ ] 数据已成功导入 BloodHound CE
• [ ] 已控制的主体在界面中已标记
• [ ] 已识别到域管理员的最短路径
• [ ] 已记录基于 ACL 的攻击路径
• [ ] 已列出 Kerberoastable 和 AS-REP Roastable 账户
• [ ] 已执行自定义 Cypher 查询进行高级分析
• [ ] 已按可行性和隐蔽性对攻击路径进行优先级排序
• [ ] 已生成包含所有已识别路径和证据的报告