BloodHound

Utilisation

Tout passe par l’ingestor Sharphound.exe. Une cheatsheet pratique ici: https://github.com/SadProcessor/HandsOnBloodHound/blob/master/BH21/BH4_SharpHound_Cheat_Dark.pdf

Cypher queries

Quelques requêtes Cypher qui peuvent être utiles (inspiré de ce gist):

# Liste de tous les utilisateurs avec des droits d'admins locaux (direct ou via un groupe)
MATCH p=(u:User)-[r:AdminTo|MemberOf*1..]->(c:Computer) RETURN p

# Juste les groupes
MATCH p=(g:Group)-[r:AdminTo|MemberOf*1..]->(c:Computer) RETURN p

# Admin direct (sans groupe)
MATCH p=(u:User)-[r:AdminTo]->(c:Computer) RETURN p

Hardening

Il est possible d’empêcher l’énumération des sessions locales avec l’outil NetCease

Ressources

• Projet Github
• BloodHound Tools
• Bloodhound Cypher Cheatsheet
• Extending BloodHound: Track and Visualize Your Compromise
• The ACL Attack Path Update
• The Dog Whisperer’s Handbook