2022-08-05 14:44:32
Как то раз на проекте столкнулся с непонятной СЗИ, которая блокировала Collectors bloodhound, как SharpHound, так и bloodhound-python. Я видел 2 варианта решения проблемы:
1. Понять что меня блочит и пробовать обойти блокировки;
2. Попробовать собрать с LDAP данные другими инструментами, желательно легитимными.
Я решил пойти вторым путём и попробовать посмотреть ACL в AD руками. На самом деле, часто BloodHound избыточен, и достаточно посмотреть, есть ли модифицированные привилегии на корневой объект домена. Если есть - то смотреть от кого и проанализировать их ACL. Чем удобнее всего это сделать? Всем по разному, но я использую инструмент Sysinternals AdExplorer.
В AdExplorer есть функционал "Create Snapshot" - данная функция позволяет сдампить LDAP и анализировать его в режиме offline. В этот момент моё сердце забилось чаще, и я бросился в гугл искать, возможно кто-то написал конвертер из дампа AdExplorer в Bloodhound.
По первой же ссылке я столкнулся со скриптом, который отлично выполнил свою задачу, и противную СЗИ я оставил с носом. Берите на вооружение, очень хороший инструмент
1.4K views11:44