On Site BloodHound

BloodHound layihəsinin bir hissəsi olan, SpecterOps tərəfindən hazırlanmış "SharpHound" xüsusi olaraq Active Directory (AD) kəşfiyyatı və təhlili üçün nəzərdə tutulmuşdur. Bu alət, pentesterlərə və sistem administratorlarına AD mühitinin təhlükəsizlik vəziyyətini başa düşməyə və qiymətləndirməyə kömək edir. SharpHound, Active Directory mühitinin müxtəlif aspektlərinə fokuslanan müxtəlif məlumat toplama üsulları təqdim edir. Bu üsullara icazələr, qrup üzvlükləri, sessiya məlumatları, etibar əlaqələri (trust relationships) və s. haqqında məlumatlar daxildir. Əmr daxilində "--CollectionMethod" parametrindən istifadə edərək, hansı məlumat toplama metodundan istifadə ediləcəyini təyin etmək mümkündür.

1.SharpHound.exe faylından istifadə edərək məlumat toplama (PowerShell):

.\SharpHound.exe --CollectionMethod All --LdapUsername <UserName> --LdapPassword <Password> --domain <Domain> --domaincontroller <Domain Controller's Ip> --OutputDirectory <PathToFile>

.\SharpHound.exe: SharpHound üçün icra edilən fayldır. " .\" icra olunan faylın cari kataloqda olduğunu göstərir.

--CollectionMethod All: Bu parametr yuxarıda da qeyd etdiyim kimi, məlumat toplanma metodunu təyin edir. Bu nümunədə, "All" olaraq təyin edilib, yəni SharpHound Active Directory ilə əlaqəli bütün növ məlumatları toplayacaq.

--LdapUsername : Bu parametr autentifikasiya üçün LDAP istifadəçi adını təyin edir.

--LdapPassword : Bu parametr autentifikasiya üçün LDAP parolunu təyin edir.

--domain : Bu parametr hədəf Active Directory domenini təyin edir.

--domaincontroller <Domain Controller's Ip>: Bu parametr domen nəzarətçisinin (DC) IP ünvanını təyin edir.

--OutputDirectory : Bu bayraq çıxış(output) fayllarının saxlanacağı kataloqu göstərir.

Bu əmri icra olunduğu zaman təyin edilmiş SharpHound məlumat toplama metodu əsasında Active Directory mühiti haqqında məlumat toplayacaq. Daha sonra bu məlumatları sonrakı mərhələlər üçün təyin edilmiş output kataloqunda saxlayacaq.

2.SharpHound PowerShell modulundan istifadə edərək BloodHound Analizinin həyata keçirilməsi:

. .\SharpHound.ps1

Bu əmr SharpHound.ps1 skriptini/modulunu cari PowerShell sessiyasına yükləyir.Bunun üçün nöqtə mənbəyi (dot-sourcing) (' . ') operatorundan istifadə edir. Bu 'əmr, SharpHound.ps1-də müəyyən edilmiş funksiyaları və cmdletləri( "command-let" Windows PowerShel-də istifadə olunan, skript edilə bilən (scriptable) əmrdir.) istifadə üçün əlçatan edir.

Invoke-BloodHound -CollectionMethod All --LdapUsername <UserName> --LdapPassword <Password> --OutputDirectory <PathToFile>

SharpHound.ps1 modulunu yüklədikdən sonra icra edilən bu əmr, moduldak təyin edilmiş "Invoke-BloodHound" cmdletini çağırır və BloodHound analizinə başlayır:

İstifadə olunan parametrlər SharpHound.exe'dən istifadə edərək icra olunan əmrin parametrlərii ilə eynidir, sadəcə PowerShell modulundan istifadə üçün uyğunlaşdırılıb.