BloodHound官方使用指南
0x00 概观
1.BloodHound介绍
BloodHound是一种单页的JavaScript的Web应用程序,构建在Linkurious上,用Electron编译,NEO4J数据库是PowerShell/C# ingestor.node
BloodHound使用可视化图来显示Active Directory环境中隐藏的和相关联的主机内容。攻击者可使用BloodHound轻松识别高度复杂的攻击路径,不然很难快速识别。防护者可使用BloodHound来识别和防护那些相同的攻击路径。蓝队和红队均可以使用BloodHound轻松深刻了解Active Directory环境中的权限关系。python
BloodHound是由@ _wald0,@CptJesus,@ harmj0y共同开发。linux
2.入门基础
BloodHound入门很是简单。完成后,请转到数据收集部分以开始收集数据,或使用BloodHound查看包含的数据库。git
(1).windows
此视频演示了NEO4J设置的过程:https://youtu.be/o22emeubrnkgithub
Neo4j须要Java环境,所以请确保您运行的是最新版本的Java。 shell
转到neo4j.com/download并点击"下载服务器(Download Server)” 数据库
下载当前版本的neo4j Server for Windows,选择32位或64位。 npm
解压缩在步骤4中下载的zip文件夹的内容。 json
打开以管理员身份运行的cmd.exe,而后转到您在步骤4中解压缩到的文件夹。 ubuntu
CD到bin目录下,并经过运行安装neo4j做为服务: neo4j.bat install-service
下载/克隆BloodHound GitHub repo,而后将BloodHoundExampleDB.graphdb复制到data\databasesneo4j目录下的文件夹中。
在cmd.exe中,返回一个目录,而后cd 到conf目录下。打开neo4j.conf,取消对行dbms.active_database=graph.db的注释。更改此行,使其显示为dbms.active_database=bloodhoundsexampledb.graphdb。另外,取消对行dbms.allow_upgrade=true的注释,使其显示为dbms.allow_upgrade=true,而后保存此文件。
进入到cmd.exe并经过输入:neo4j net start neo4j
经过在浏览器中打开http://localhost:7474/来验证NEO4J是否正在运行。NEO4J Web控制台应该正常显示。
从此处下载到的版本运行BloodHound.exe 或从源代码编译BloodHound。
在bolt://localhost:7687上对提供的示例图形数据库进行身份验证。用户名是“neo4j”,密码是“BloodHound”。
您如今能够开始收集数据!
(2).Linux
有关在Linux上设置BloodHound的更好说明,请参阅此博客文章:https://stealingthe.network/quick-guide-to-installing-bloodhound-in-kali-rolling/
下载并安装neo4j社区版。
可选:若是您计划在不一样主机上运行neo4j和PowerShell接收程序,请将REST API配置为接受远程链接。
克隆BloodHound Github repo
git clone https://github.com/adaptivethreat/Bloodhound启动neo4j服务器,将NEO4J指向提供的示例图形数据库。
从此处找到的相应版本运行BloodHound 或从源代码编译BloodHound。
./BloodHound经过bolt://localhost:7687上提供的示例图形数据库的身份验证。用户名是“neo4j”,密码是“BloodHound”
您如今能够开始收集数据!
(3).KALI
apt-get update
apt-get dist-upgrade
apt-get install bloodhound
neo4j console
4.如今在http://localhost:7474上有一个远程接口。经过浏览器打开此URL连接地址,而后更改默认密码。您还将看到它在localhost上启用了Bolt,在之后会用到它。
5.使用默认凭据登陆(以下),而后将要求您更改密码:
- 用户名:neo4j
- 密码:neo4j
继续完成密码更改后,并关闭浏览器窗口。
6.弹出一个新的终端窗口打开并运行如下命令启动Bloodhound。
bloodhound
正如您所看到的,Bloodhound如今正在运行并等待一些用户输入。在发布Neo4j以前,它还启用了Bolt on bolt://127.0.0.1:7687。您须要将其用做数据库URL。
- 数据库URL - bolt://127.0.0.1:7687
- 用户名 - neo4j
- 密码 - 您新更改的密码
点击登陆,你应该看到Bloodhound工具删除了数据。您如今能够导入数据并进行分析。
(4).OSX
下载并安装neo4j社区版。
可选:若是您计划在不一样主机上运行neo4j和PowerShell接收程序,请将REST API配置为接受远程链接。
克隆BloodHound Github repo
git clone https://github.com/adaptivethreat/Bloodhound启动neo4j服务器,将NEO4J指向提供的示例图形数据库。
从此处找到相应的版本运行BloodHound应用程序或从源代码编译BloodHound。
- 经过bolt://localhost:7687上提供的示例图形数据库的身份验证。用户名是“neo4j”,密码是“BloodHound”
您如今能够开始收集数据!
3.源码编译BloodHound
(1).windows
安装 electron-packager
npm install -g electron-packager克隆BloodHound GitHub repo
git clone https://github.com/adaptivethreat/Bloodhound从根目录BloodHound中运行'npm install'命令
npm install使用'npm run winbuild'命令编译BloodHound
npm run winbuild
(2).Linux
安装 electron-packager
sudo npm install -g electron-packager克隆BloodHound GitHub repo
git clone https://github.com/adaptivethreat/Bloodhound从根目录BloodHound中运行'npm install'命令
npm install使用'npm run winbuild'命令编译BloodHound
npm run linuxbuild
(3).OSX
安装 electron-packager
sudo npm install -g electron-packager克隆BloodHound GitHub repo
git clone https://github.com/adaptivethreat/Bloodhound从根目录BloodHound中运行'npm install'命令
sudo npm install使用'npm run winbuild'命令编译BloodHound
npm run macbuild
4.运行BloodHound的开发版本
克隆BloodHound GitHub repo
git clone https://github.com/adaptivethreat/Bloodhound从根目录BloodHound中运行'npm install'命令'
npm install使用'npm run dev'命令运行开发版本服务器
npm run dev使用Ctrl + R完成WebPack编译后,刷新electron窗口
0x02 数据采集
1.介绍
BloodHound须要来自Active Directory环境的三条信息才能运行:
- 谁在哪里登陆?
- 谁拥有管理权限?
- 哪些用户和组属于哪些组?
- (可选)哪些主体能够控制其余用户和组对象?
在大多数状况下,收集此信息不须要管理员权限,也不须要在远程系统上执行代码。基于PowerView的PowerShell摄取器使数据收集变得快速而简单。ingestor(采集器)位于 BloodHound repo下的ingestor目录下。
收集器收集许多额外的数据,这些数据提供了更多路径,以及节点属性以方便使用。
(1).PowerShell执行策略
默认状况下,PowerShell不容许执行PowerShell脚本;可是,在大多数状况下,绕过此限制很是简单。一般,经过运行如下命令,您能够在不受此限制的状况下输入PowerShell执行命令:
PS C:\> PowerShell -Exec Bypass
有关更多选项,请参阅NetSPI上的这篇精彩博文,其中介绍了绕过PowerShell执行策略的15种不一样方法。
(2).数据采集
使用BloodHound接口完成数据采集。该接口支持上传带有数据的zip文件,以及单个JSON文件 。
2.数据收集器
(1).SharpHound - C#Ingestor
BloodHound如今包括一个彻底自定义的C#采集器,从头开始编写以支持采集任务。有两个选项可使用采集器,可执行文件和PowerShell脚本的选项。两个采集器都支持相同的选项集。运行PowerShell版本的命令是Invoke-BloodHound。与全部PowerShell脚本同样,它必须在没有执行策略限制的PowerShell运行环境中运行。有关绕过执行策略运行PowerShell的详细信息,请参阅NetSPI的此博客文章。
有关详细信息,包括标志和新功能,请参阅此处的博客文章。
Invoke-BloodHound
(2).基本用法
Invoke-BloodHound执行填充后端BloodHound数据库所需的集合选项。若是未指定任何选项,则默认状况下,它将收集全部展开的组成员身份信息,全部可访问的域信任信息,并将收集全部可从当前域访问的计算机上的会话/本地管理员数据。全部数据都将导出到当前目录中的JSON文件中。。*-JSONFolder C:\Temp*参数将修改文件输出到的文件夹,而且
-jsonprefix domainx将指定的标志添加到每一个输出文件的开头。
对于没有登陆域的用户会话数据,默认状况下,全局编录用于尝试解除冲突用户可能所在的域。若是用户存在于林中的多个域中,则使用一系列权重进行修改攻击路径的可能性。若是要跳过此全局编目冲突方法,请指定-skipgcdeconfliction标志
(3).收集器选项
枚举选项
- CollectionMethod - 要使用的集合方法。此参数接受以逗号分隔的值列表。具备如下默认值(Default: Default):
- Default - 执行组成员身份收集、域信任收集、本地管理收集和会话收集
- Group- 执行组成员身份集合
- LocalGroup - 执行本地管理员集合
- RDP - 执行远程桌面用户集合
- DCOM - 执行分布式COM用户集合
- GPOLocalGroup - 使用组策略对象执行本地管理员收集
- Session- 执行会话收集
- ObjectProps - 为LastLogon或PwdLastSet等属性执行对象属性收集
- ComputerOnly - 执行本地管理员,RDP,DCOM和会话集合
- LoggedOn - 执行特权会话收集(须要目标系统上的管理员权限)
- Trusts - 执行域信任枚举
- ACL - 执行ACL的收集
- Container - 执行容器的收集
- DcOnly - 仅使用LDAP执行收集。包括Group,Trusts,ACL,ObjectProps,Container和GPOLocalGroup。
- All- 执行除GPOLocalGroup和LoggedOn以外的全部收集方法
- SearchForest - 搜索林中的全部域,而不只仅是当前域
- Domain - 搜索特定域。若是为null,则使用当前域(默认值:null)
- Stealth - 执行隐藏收集方法。全部隐藏选项都是单线程的。
- SkipGCDeconfliction - 会话枚举期间跳过全局编录取消冲突。这能够加快枚举速度,但会致使数据可能不许确。
- ExcludeDc - 从枚举中排除域控制器(避免使用Microsoft ATA标志:)
- ComputerFile - 指定要从中加载计算机名称/ IP的文件
- OU - 指定要枚举的OU
链接选项
- DomainController - 指定要链接的域控制器(默认值:null)
- LdapPort - 指定LDAP所在的端口(默认值:0)
- SecureLdap - 使用安全LDAP而不是常规LDAP链接到AD。默认状况下将链接到端口636。
- IgnoreLdapCert - 忽略LDAP SSL证书。例如,若是存在自签名证书,则使用
- LDAPUser - 用于链接LDAP的用户名。还须要LDAPPassword参数(默认值:null)
- LDAPPass - 用户链接LDAP的密码。还须要LDAPUser参数(默认值:null)
- DisableKerbSigning - 禁用LDAP加密。不推荐。
性能选项
- Threads- 指定要使用的线程数(默认值:10)
- PingTimeout - 指定ping请求的超时(以毫秒为单位)(默认值:250)
- SkipPing - 指示Sharphound跳过ping请求以查看系统是否已启动
- LoopDelay - 会话循环之间的秒数(默认值:300)
- MaxLoopTime - 继续会话循环的时间值。格式为0d0h0m0s。Null值将会循环两个小时。(默认值:2h)
- Throttle - 在每次请求到计算机后添加延迟。值以毫秒为单位(默认值:0)
- Jitter - 为阀门值增长百分比 jitter。(默认值:0)
输出选项
- JSONFolder - 存储json文件的文件夹(默认值: .)
- JSONPrefix - 要添加到JSON文件的前缀(默认值:“”)
- NoZip - 不要将JSON文件压缩到zip文件。将JSON文件存储在磁盘上。(默认值:false)
- EncryptZip - 将随机生成的密码添加到zip文件中。
- ZipFileName - 指定zip文件的名称
- RandomFilenames -随机输出文件名
- PrettyJson - 在多行上输出带缩进的JSON以提升可读性。权衡是增长文件大小。
缓存选项
- CacheFile - Sharphound缓存的文件名。(默认值:BloodHound.bin)
- NoSaveCache - 不要将缓存文件存储到磁盘上。若是没有此标志,BloodHound.bin将从磁盘中被删除
- Invalidate --使缓存文件无效并生成新缓存
杂项选项
- StatusInterval - 枚举期间显示进度的间隔(以毫秒为单位)(默认值:30000)
- 详细 - 启用详细输出
3.JSON采集
SharpHound默认在Zip文件中输出几个JSON文件。BloodHound界面支持单个文件以及Zip文件。上传数据的最简单方法是将文件拖放到用户界面上除节点显示选项卡以外的任何位置。
4.基于Python的BloodHound采集器
BloodHound.py是一个基于Python的BloodHound 采集器,基于Impacket。
此版本的BloodHound 仅与BloodHound 2.0或更新版本兼容。
(1).限制
BloodHound.py目前有如下限制:
- 尚不支持全部BloodHound(SharpHound)功能(有关支持的收集方法,请参阅下面的内容)
- Kerberos支持还没有完成
- 还没有实现跨林成员身份解析
(2).安装和使用
您能够经过pip命令:pip install bloodhound来进行安装,或者经过克隆此存储库并运行python setup.py install或使用 pip install .. BloodHound.py 来安装。BloodHound.p须要impacket、ldap3和dnspython模块才能正常运行
安装将向您的路径中添加命令行工具bloodhound-python。
要使用bloodhound-采集器,您至少须要登陆域的凭据。您须要使用此域的用户名(或受信任域中的用户的username@domain)指定-u选项。若是您的DNS设置正确,而且AD域在您的DNS搜索列表中,那么bloodhound.py将自动为您检测该域。若是没有,则必须使用-d选项手动指定它
默认状况下,bloodhound.py将查询LDAP和域中的各个计算机,以枚举用户、计算机、组、信任、会话和本地管理员。若是要限制收集,请指定--collectionmethod参数,该参数支持如下选项(相似于sharphound):
- Default -本地管理员集合和会话集合 执行组成员身份收集、域信任收集、本地管理收集和会话收集
- Group - 执行组成员身份收集
- LocalAdmin - 执行本地管理员收集
- Session - 执行会话收集
- Acl - 执行acl收集
- Trusts - 执行域信任枚举
- LoggedOn - 执行特权会话枚举(须要目标上的本地管理员)
- ObjectProps - 为LastLogon或PwdLastSet等属性执行对象属性集合
- All - 运行上述全部方法,LoggedOn除外
muliple集合方法应以逗号分隔,例如:-c group,localadmin
您能够覆盖某些自动检测选项,例如,若是要使用其余域控制器,则使用-dc指定主域控制器的主机名,或者使用-gc指定本身的全局编录。
0x03 界面使用
1.界面介绍
BloodHound界面设计直观,操做重点突出。由于BloodHound是以Electron应用程序编译的,因此它跨平台的,可在Windows,OSX和Linux上运行。
(1).认证
当您第一次打开BloodHound时,会收到登陆提示:
“Database URL”是NEO4J数据库运行的IP地址和端口,格式应为bolt://ip:7687
DB Username是为NEO4J的数据库的用户名。NEO4J数据库的默认用户名是NEO4J
DB Password 是NEO4J数据库的密码。NEO4J数据库的默认密码是NEO4J。提供的示例数据库的密码是BloodHound
(2).概观
成功登陆后,BloodHound将在其名称中绘制名为“Domain Admins”的任何组,并向您显示属于该组的有效用户:
上图中,BloodHound界面分为5个部分:
(3).菜单和搜索栏
搜索栏和菜单旨在直观且以操做为重点。左上角的三行将切换“数据库信息”,“节点信息”和“查询”选项卡的下拉列表。
“数据库信息”选项卡显示有关当前加载的数据库的基本信息,包括用户、计算机、组和关系(或边)的数量。您还能够在这里执行基本的数据库管理功能,包括注销和切换数据库,以及清除(读取:从中删除全部信息)当前加载的数据库(注意!)
“节点信息”选项卡将显示有关您在图表中单击的节点的信息。
“查询”选项卡将显示咱们在BloodHound中包含的预建查询,以及您能够本身构建其余查询。稍后将提供有关此内容的更多信息。
(4).图形绘制区域
这是BloodHound绘制节点和边缘的区域。按住ctrl键将循环显示三个选项以显示节点标签:Default Threshold, Always Show, Never Show.。能够单击并按住一个节点,将其拖动到其余点。您也能够单击一个节点,侦探犬将用该节点的信息填充“节点信息”选项卡。
(5).设置
- 刷新 - BloodHound将从新计算并从新绘制当前显示。
- 导出图表 - BloodHound能够将当前绘制的图形导出为JSON格式,或者导出为PNG。
- 导入图 表- BloodHound将以JSON格式绘制导入的图形。
- 上传数据 - BloodHound将自动检测而后提取CSV格式的数据。有关此内容的更多信息,请参阅CSV提取。
- 更改布局类型 - 在分层(dagre)和强制导向图布局之间切换。
- 设置 - 改变节点折叠行为,并在低细节模式之间切换
(6).放大/缩小并重置
加号(+)将放大。减号(-)将缩小。中心图标会将图表重置为默认缩放。
(7).初始密码查询
BloodHound您对当前加载的NEO4J数据库运行自定义密码查询。有关此主题的更多信息,请参阅Cypher查询语言。
2.用户
单击计算机节点将在“ Node Info”选项卡中填充有关该计算机的信息:
(1).节点信息
-Name:这是节点的名称,采用域简单格式。
- SAMAccountName:这是用户的SAMAccountName。此信息目前不是由接收程序收集的。
- Display Name:这是用户的Windows显示名称。此信息目前不是由接收程序收集的。
-Password Last Changed:这是用户密码上次更改的日期。此信息目前不是由接收程序收集的。
- Sessions:这些是接收程序在收集期间标识用户登陆的全部计算机
(2).组成员身份
- First Degree Group Memberships:这些组是用户显式成员的组。这是输入命令net user username /domain 时看到的信息
- Unrolled Group Memberships: 这些都是用户有效的组成员身份。这至关于运行Get-NetGroup -User username的信息
- Foreign Group Memberships:这些是用户所属的全部外部组
(3).本地管理员权利
- First Degree Local Admin: 这些计算机明确地将用户自己添加为系统上的本地管理员
- Group Delegated Local Admin Rights: 这些是用户根据委派的组权限得到管理员权限的计算机
- Derivative Local Admin Rights:: 这些是用户能够经过模拟当前使用具备管理员权限的计算机的用户来得到管理员权限的计算机,而无论连接的深度如何
(4).出站对象控制
-First Degree Object Control::这些是用户直接控制的其余对象
- Group Delegated Object Control:这些是此用户经过安全组委派控制的对象。
-Transitive Object Control:这些用户具备仅ACL的攻击路径的对象。
(5).入站对象控制
- Explicit Object Controllers:对该用户具备一级控制权的其余主体。
- Unrolled Object Controllers:经过展开控制此用户的一级组,咱们能够看到经过安全组委派控制此对象的全部有效主体
- Transitive Object Controllers:这些是环境中具备此用户对象的仅ACL攻击路径的其余主体。
3.计算机
单击计算机节点将在“ Node Info”选项卡中填充有关该计算机的信息:
(1).节点信息
- Name:这是节点的名称,采用彻底限定格式。
- OS:计算机的操做系统。此信息目前不是由接收程序收集的。
- Allows Unconstrained Delegation:计算机是否容许无约束委派。此信息目前不是由接收程序收集的。
- Sessions: 这些是在数据收集过程当中由接收程序识别的计算机上的用户会话。
(2).本地管理员
- Explicit Admins:这些是在系统上具备本地管理员权限的显式用户和组。这至关于在主机上运行命令net localgroup administrators
- Unrolled Admins:这些是对系统具备管理员权限的全部有效组和用户。这至关于运行命令get netlocalgroup-computername computername-recurse
- Derivative Local Admins:这些是具备计算机衍生管理风格攻击路径的全部有效组和用户
(3).组成员身份
- First Degree Group Membership:这些是计算机所属的组。
- Unrolled Group Memberships: 这些都是计算机拥有的有效组成员身份。
- Foreign Group Memberships::这些是计算机所属的全部外部组。
(4).本地管理员权限
- First Degree Local Admin:这些计算机对象在系统上显式添加为本地管理员的计算机。
- Group Delegated Local Admin Rights::这些是计算机根据委派的组权限得到管理员权限的计算机。
- Derivative Local Admin Rights:这些是计算机能够经过冒充当前使用用户具备管理员权限的计算机的用户得到管理员权限的计算机,不管此连接的深度如何。
(5).出站对象控制
- First Degree Object Control::这些是此计算机可直接控制的其余对象。
- Group Delegated Object Control:这些是此计算机经过安全组委派控制的对象。
-Transitive Object Control:这些是此计算机具备仅ACL的攻击路径的对象。
4.组
单击计算机节点将在“ Node Info”填充有关该组的信息
(1).节点信息
- Name::组的显示名称。
- Sessions:这些是接收程序在收集过程当中识别出该组的有效用户登陆的全部计算机
(2).组成员
- Direct Members: 这些是显式添加到此组的用户和组。这是输入命令 net group groupname/domain时看到的信息
- Unrolled Members::这些都是组的有效组成员身份。这至关于运行命令get netgroup-groupname groupname-recurse
- Foreign Members::这些属于该组的用户自己属于外部域
(3).组成员身份
- First Degree Group Memberships:这些是属于此组的用户,它们本身属于外部域
- Unrolled Group Memberships:这些都是组中有效的组成员身份
- Foreign Group Memberships:: 这些是组所属的全部外部组。
(4).本地管理员权限
- First Degree Local Admin:这些是将组自己明确添加为系统本地管理员的计算机。
-Group Delegated Local Admin Rights:这些是用户组管理员根据委派的组权限进行权限的计算机。 这些是用户组管理员根据委派的组权限授予的计算机。
- Derivative Local Admin Rights::这些是该组能够经过冒充当前使用用户具备管理员权限的计算机的用户得到管理员权限的计算机,不管此连接的深度如何。
这些是组能够经过模拟当前使用用户具备管理员权限的计算机的用户来得到管理员权限的计算机,而无论连接的深度如何
(5).出站对象控制
- First Degree Object Control::这些是此计算机可直接控制的其余对象。
- Group Delegated Object Control:这些是此计算机经过安全组委派控制的对象。
-Transitive Object Control:这些是此计算机具备仅ACL的攻击路径的对象。
(6).入站对象控制
- Explicit Object Controllers:对该组具备一级控制权的其余主体。
-Unrolled Object Controllers: 经过展开控制此组的一级组,咱们能够看到经过安全组委派控制此对象的全部有效主体
- Transitive Object Controllers::这些是环境中具备此组对象的仅ACL攻击路径的其余主体。
5.寻路径
BloodHound中的寻路径的工做原理与您喜欢的图形软件中的工做方式相似。单击道路图标,将弹出“Target Node”文本框。
首先,指定“开始节点”。这能够是BloodHound图表中的任何类型的节点。BloodHound将为您自动完成此字段。
接下来,指定“目标节点”。一样,这能够是BloodHound图表中的任何类型的节点,BloodHound将为您自动完成此字段。
按“播放”按钮,若是存在此类路径,BloodHound将肯定起始节点和目标节点之间的全部最短路径。而后,BloodHound将在图形绘制区域中显示路径
0x04 高级用法
1.neo4j REST API
Neo4j有一个RESTful API,可用于查询或修改BloodHound图。API支持事务性语句
默认状况下,端点位于http://localhost:7474/db/data/transaction/commit
必要的HTTP头
Accept: application/json; charset=UTF-8 Content-Type: application/json Authorization: BASE64 ENCODED USERNAME:PASSWORD
POST Body
{
"statements": [
{
"statement": "CYPHER QUERY GOES HERE"
}
]
}
CURL查询以得到USERNAME@DOMAIN.COM的本地管理员
curl -X POST \
http://localhost:7474/db/data/transaction/commit \
-H 'accept: application/json; charset=UTF-8' \
-H 'authorization: BASE64 ENCODED USER:PASS' \
-H 'content-type: application/json' \
-d '{"statements": [{"statement": "MATCH (c:Computer) WHERE NOT c.name='\''USERNAME@DOMAIN.COM'\'' WITH c MATCH p = shortestPath((n:User {name:'\''USERNAME@DOMAIN.COM'\''})-[r:HasSession|AdminTo|MemberOf*1..]->(c)) RETURN count(p)"}]}'
Python请求示例
user = USER@DOMAIN.COM
statement = "MATCH p=(n:User {name:'%s'})-[r1:MemberOf*1..]->(g:Group)-[r2:AdminTo]->(c:Computer) RETURN count(p)" % user
headers = { "Accept": "application/json; charset=UTF-8",
"Content-Type": "application/json",
"Authorization": "BASE64 ENCODED USERNAME:PASSWORD" }
data = {"statements": [{'statement': statement}]}
url = 'http://localhost:7474/db/data/transaction/commit'
r = requests.post(url=url,headers=headers,json=data)
neo4j官方文档
http://neo4j.com/docs/rest-docs/current/
neo4j HTTP REST API官方文档
https://neo4j.com/docs/developer-manual/current/http-api
2.BloodHound JSON格式
SharpHound导出的数据存储在JSON文件中。有八个单独的JSON文件格式提供不一样的数据。
基本JSON格式
全部JSON文件都以元标记结尾,元标记包含文件中的对象数以及文件中的数据类型。实际数据存储在一个数组中,其中的值与元标记中的字符串相匹配。
{
"users":[
{
"name": "ADMIN@TESTLAB.LOCAL"
}
],
"meta":{
"type" : "users",
"count": 1
}
}
可能的类型/对象格式是:
- users
- groups
- ous
- computers
- gpos
- domains
- gpoadmins
- sessions
对象格式
users:
"Name": "ADMINISTRATOR@TESTLAB.LOCAL",
"PrimaryGroup": "DOMAIN USERS@TESTLAB.LOCAL",
"Properties": {
"domain": "TESTLAB.LOCAL",
"objectsid": "S-1-5-21-883232822-274137685-4173207997-500",
"enabled": true,
"lastlogon": 1532041405,
"pwdlastset": 1531772261,
"serviceprincipalnames": [],
"hasspn": false,
"displayname": null,
"email": null,
"title": null,
"homedirectory": null,
"description": "Built-in account for administering the computer/domain",
"userpassword": "Password123!",
"admincount": true
},
"Aces": [
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "Owner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "GenericWrite",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "GenericWrite",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "GenericWrite",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
}
],
"AllowedToDelegate": []
computers
"Name": "WINDOWS1.TESTLAB.LOCAL",
"PrimaryGroup": "DOMAIN COMPUTERS@TESTLAB.LOCAL",
"Properties": {
"objectsid": "S-1-5-21-883232822-274137685-4173207997-1106",
"highvalue": false,
"domain": "TESTLAB.LOCAL",
"enabled": true,
"unconstraineddelegation": false,
"lastlogon": 1532094035,
"pwdlastset": 1530133811,
"serviceprincipalnames": [
"RestrictedKrbHost/WINDOWS1",
"HOST/WINDOWS1",
"RestrictedKrbHost/WINDOWS1.testlab.local",
"HOST/WINDOWS1.testlab.local"
],
"operatingsystem": "Windows 7 Ultimate N Service Pack 1",
"description": null
},
"LocalAdmins": [
{ "Name": "DOMAIN ADMINS@TESTLAB.LOCAL", "Type": "Group" },
{ "Name": "ADMINISTRATOR@TESTLAB.LOCAL", "Type": "User" },
{ "Name": "ADMIN@TESTLAB.LOCAL", "Type": "User" }
],
"RemoteDesktopUsers": [
{ "Name": "DFM@TESTLAB.LOCAL", "Type": "User" }
],
"DcomUsers": [
{ "Name": "DFM.A@TESTLAB.LOCAL", "Type": "User" }
],
"AllowedToDelegate": []
}
groups:
{
"Name": "SCHEMA ADMINS@TESTLAB.LOCAL",
"Properties": {
"highvalue": false,
"domain": "TESTLAB.LOCAL",
"objectsid": "S-1-5-21-883232822-274137685-4173207997-518",
"admincount": true,
"description": "Designated administrators of the schema"
},
"Aces": [
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "Owner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "GenericWrite",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "GenericWrite",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "GenericWrite",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
}
],
"Members": [
{
"MemberName": "ADMIN@TESTLAB.LOCAL",
"MemberType": "user"
},
{
"MemberName": "ADMINISTRATOR@TESTLAB.LOCAL",
"MemberType": "user"
}
]
}
domains
{
"Name": "TESTLAB.LOCAL",
"Properties": {
"objectsid": "S-1-5-21-883232822-274137685-4173207997",
"highvalue": true,
"description": null,
"functionallevel": "2012 R2"
},
"Links": [
{ "IsEnforced": false, "Name": "LOCALADMINS@TESTLAB.LOCAL" },
{
"IsEnforced": false,
"Name": "DEFAULT DOMAIN POLICY@TESTLAB.LOCAL"
}
],
"Trusts": [
{
"TargetName": "DEV.TESTLAB.LOCAL",
"IsTransitive": true,
"TrustDirection": 2,
"TrustType": "ParentChild"
},
{
"TargetName": "EXTERNAL.LOCAL",
"IsTransitive": true,
"TrustDirection": 2,
"TrustType": "External"
}
],
"Aces": [
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "Owner",
"AceType": ""
},
{
"PrincipalName":
"ENTERPRISE READ-ONLY DOMAIN CONTROLLERS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "ExtendedRight",
"AceType": "GetChanges"
},
{
"PrincipalName": "DOMAIN CONTROLLERS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "ExtendedRight",
"AceType": "GetChangesAll"
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "ExtendedRight",
"AceType": "GetChanges"
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "ExtendedRight",
"AceType": "GetChangesAll"
},
{
"PrincipalName":
"ENTERPRISE DOMAIN CONTROLLERS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "ExtendedRight",
"AceType": "GetChanges"
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "ExtendedRight",
"AceType": "All"
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "GenericAll",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "ADMINISTRATORS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "ExtendedRight",
"AceType": "All"
}
],
"ChildOus": ["357F42BA-7892-441B-8836-DC148D651F3F"],
"Computers": [
"WINDOWS1.TESTLAB.LOCAL",
"WINDOWS2.TESTLAB.LOCAL",
"WINDOWS10.TESTLAB.LOCAL"
],
"Users": [
"DFM@TESTLAB.LOCAL",
"DFM.A@TESTLAB.LOCAL",
"ADMINISTRATOR@TESTLAB.LOCAL",
"GUEST@TESTLAB.LOCAL",
"ADMIN@TESTLAB.LOCAL",
"KRBTGT@TESTLAB.LOCAL",
"HARMJ0Y@TESTLAB.LOCAL",
"TESTUSER$@TESTLAB.LOCAL"
]
}
GPO:
{
"Name": "DEFAULT DOMAIN POLICY@TESTLAB.LOCAL",
"Properties": {
"highvalue": false,
"description": null,
"gpcpath":
"\\\\testlab.local\\sysvol\\testlab.local\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}"
},
"Guid": "31B2F340-016D-11D2-945F-00C04FB984F9",
"Aces": [
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "Owner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "ENTERPRISE ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteOwner",
"AceType": ""
},
{
"PrincipalName": "DOMAIN ADMINS@TESTLAB.LOCAL",
"PrincipalType": "group",
"RightName": "WriteDacl",
"AceType": ""
}
]
}
ous:
{
"Guid": "357F42BA-7892-441B-8836-DC148D651F3F",
"Properties": {
"name": "DOMAIN CONTROLLERS@TESTLAB.LOCAL",
"highvalue": false,
"blocksinheritance": false,
"description": "Default container for domain controllers"
},
"ChildOus": [],
"Computers": ["PRIMARY.TESTLAB.LOCAL"],
"Users": [],
"Links": [
{
"IsEnforced": false,
"Name": "DEFAULT DOMAIN CONTROLLERS POLICY@TESTLAB.LOCAL"
}
]
}
sessions:
{
"UserName": "DFM@TESTLAB.LOCAL",
"ComputerName": "WINDOWS1.TESTLAB.LOCAL",
"Weight": 1
}gpoadmins
{
"Computer": "PRIMARY.TESTLAB.LOCAL",
"Name": "DOMAIN ADMINS@TESTLAB.LOCAL",
"Type": "group"
}
- 1. BloodHound官方使用指南
- 2. Impacket官方使用指南
- 3. NGINX缓存使用官方指南
- 4. XMemcached官方用户指南
- 5. open SUSE非官方指南
- 6. ZABBIX安装官方指南
- 7. Rasa官方手册 用户指南
- 8. Android O 迁移应用官方指南
- 9. GitHub使用教程——GitHub官方指南【翻译】
- 10. 官方指南——向日葵Linux 2.2客户端使用教程
- 更多相关文章...
- • SQL 指南 - 网站建设指南
- • HTML 指南 - 网站建设指南
- • Git可视化极简易教程 — Git GUI使用方法
- • Composer 安装与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。