Forwarded from CyberSecrets
Cypher: Введение
На данный момент у меня закончились идеи с постами по тестированию инфраструктуры на базе Active Directory. Поэтому решил переключиться на BloodHound и Cypher.
Инструмент BloodHound состоит из трех частей:
• Sharphound – сборщик данных;
• BloodHound – веб приложение для работы и визуализации данных;
• Neo4j – база данных для хранения информации.
Обычно результаты запросов представляются в виде графов, что удобно для обнаружения связей между объектами. В BloodHound объекты домена являются вершинами графа, а ребра – отношениями между этими объектами. Так же в Neo4j вершины графа маркируются (label) по общему принципу это позволяет делать выборку только из необходимой группы объектов. Связи определяются по типу (type).
Для запросов информации из базы данных используется язык Cypher. Ниже представлен список некоторых операторов:
•
•
•
•
•
•
Принцип запросов выборки будет следующим:
Можно заметить, что сам запрос похож на граф и это можно использовать для создания сложных запросов.
Стрелки определяют направление связи, в Neo4j нет двунаправленных связей, но могут быть запросы, где направление не указано. Cypher чувствителен к регистру и это необходимо учитывать при создании запросов, одна незначительная опечатка и результаты будут ошибочными.
Рассмотрим простой запрос Cypher в котором будут выбираться пользователи, у которых есть доступ по RDP:
Здесь переменным
Результат будет аналогичным.
Указание
Самым интересным в Cypher является построение коротких путей между объектами. Для этого используются операторы
Стоит обратить внимание, что в запросе не указываются связи, только количество «прыжков» от 1 до конца (об этом будет рассказано позже). Это означает, что интересны все возможные варианты связей.
#BloodHound #Cypher
На данный момент у меня закончились идеи с постами по тестированию инфраструктуры на базе Active Directory. Поэтому решил переключиться на BloodHound и Cypher.
Инструмент BloodHound состоит из трех частей:
• Sharphound – сборщик данных;
• BloodHound – веб приложение для работы и визуализации данных;
• Neo4j – база данных для хранения информации.
Обычно результаты запросов представляются в виде графов, что удобно для обнаружения связей между объектами. В BloodHound объекты домена являются вершинами графа, а ребра – отношениями между этими объектами. Так же в Neo4j вершины графа маркируются (label) по общему принципу это позволяет делать выборку только из необходимой группы объектов. Связи определяются по типу (type).
Для запросов информации из базы данных используется язык Cypher. Ниже представлен список некоторых операторов:
•
CREATE и MERGE – создание нового элемента;•
MATCH - выполнение выборки;•
SET и REMOVE – добавление или удаление свойств;•
WHERE – условие;•
RETURN – возврат результата;•
DELETE – удаление элементов;Принцип запросов выборки будет следующим:
MATCH (var1)-[:Тип связи]->(var2) WHERE … RETURN var1, var2
Можно заметить, что сам запрос похож на граф и это можно использовать для создания сложных запросов.
Стрелки определяют направление связи, в Neo4j нет двунаправленных связей, но могут быть запросы, где направление не указано. Cypher чувствителен к регистру и это необходимо учитывать при создании запросов, одна незначительная опечатка и результаты будут ошибочными.
Рассмотрим простой запрос Cypher в котором будут выбираться пользователи, у которых есть доступ по RDP:
MATCH (u:User)-[r:CanRDP]->(c:Computer) RETURN u,r,c
Здесь переменным
u,r,c будут передаваться результаты выборки, это необязательно если не нужно выделять какие-то особые условия, но для возврата данных нужно все равно определить переменную:MATCH p=(:User)-[CanRDP]->(:Computer) RETURN p
Результат будет аналогичным.
Указание
label будет влиять на скорость выполнения запроса, но и результат может быть другим. Например, в запросе выше упускается тот факт, что группы тоже могут иметь связь CanRDP. Таким образом в запросе можно опустить указание User, и он будет выглядеть следующим образом:MATCH p=(u)-[r:CanRDP]->(c:Computer) RETURN p
Самым интересным в Cypher является построение коротких путей между объектами. Для этого используются операторы
ShortestPath и AllShortestPaths как можно догадаться разница между ними в том, что первый находит один короткий путь, а второй все (при наличии такой возможности). Формирование коротких путей будет занимать большое количество времени поэтому нужно добавлять условия для снижения нагрузки на базу данных. Пример запроса всех путей от пользователей до группы доменных администраторов будет выглядеть следующим образом:MATCH p=allshortestpaths((u:User)-[*1..]->(g:Group)) where g.name = "DOMAIN [email protected]" RETURN p
Стоит обратить внимание, что в запросе не указываются связи, только количество «прыжков» от 1 до конца (об этом будет рассказано позже). Это означает, что интересны все возможные варианты связей.
#BloodHound #Cypher
• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках.
• Делюсь ссылками на полезный справочник для эксплуатации win #AD, который включает в себя следующую информацию:
• Обход PowerShell AMSI;
• PowerShell one-liners;
• Перечисления (Enumeration);
• AD Enumeration с помощью PowerView;
• AppLocker;
• Ограниченный языковой режим PowerShell;
• LAPS;
• Боковое перемещение (Lateral Movement);
• Боковое перемещение с помощью PowerView;
• BloodHound;
• Kerberoasting;
• AS-REP roasting;
• Token Manipulation;
• Боковое перемещение с помощью Rubeus;
• Боковое перемещение с помощью Mimikatz;
• Выполнение команды с запланированными задачами;
• Выполнение команд с помощью WMI;
• Выполнение команд с помощью PowerShell Remoting;
• Неограниченное делегирование;
• Ограниченное делегирование;
• Ограниченное делегирование на основе ресурсов;
• Злоупотребление доверием к домену;
• MSSQL и боковое перемещение;
• Групповые политики и боковое перемещение;
• Privilege Escalation;
• PowerUp;
• UAC Bypass;
• Persistence;
• Startup folder;
• Domain Persistence;
• Mimikatz skeleton key attack;
• Права DCSync с помощью PowerView;
• Domain Controller DSRM admin;
• Изменение дескрипторов безопасности для удаленного доступа к WMI;
• Изменение дескрипторов безопасности для удаленного доступа PowerShell;
• Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
• DCShadow;
• Постэксплуатация;
• LSASS protection;
• Дамп учетных данных с помощью Mimikatz;
• Злоупотребление DPAPI с помощью Mimikatz;
• Dumping secrets without Mimikatz;
• Windows Defender evasion;
• Chisel proxying;
• Juicy files;
#AD #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
• Одним из самых важных инструментов, который используется практически во всех внутренних тестированиях на проникновение, является BloodHound. Если говорить простым языком, то это инструмент для визуализации данных Active Directory, который помогает пентестерам эффективно определять пути атаки, чтобы получить контроль над доменом и лесом Windows Active Directory [#AD].
• По ссылками ниже, ты найдешь полезный обзор некоторых программных средств, использующихся для автоматизированного построения вероятных атак в домене. Кроме того, будут рассмотрены некоторые подходы к улучшению уже имеющихся решений и предложен определенный алгоритм к выявлению наиболее приоритетных целей атак:
• Улучшения Bloodhound;
- Пользовательские хранимые запросы;
- Добавление новых сущностей;
- Весовые коэффициенты;
- Многоуровневая архитектура безопасности;
- Объекты первоначального доступа;
- Рекомендации по противодействию BloodHound;
• Управление векторами атак;
- Значимые объекты.
#AD #Bloodhound
Please open Telegram to view this post
VIEW IN TELEGRAM
• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках. Сегодня, я поделюсь с тобой ссылкой на отличный Cheat Sheet для эксплуатации win #AD.
Что включает в себя справочник:
• Обход PowerShell AMSI;
• PowerShell one-liners;
• Перечисления (Enumeration);
• AD Enumeration с помощью PowerView;
• AppLocker;
• Ограниченный языковой режим PowerShell;
• LAPS;
• Боковое перемещение (Lateral Movement);
• Боковое перемещение с помощью PowerView;
• BloodHound;
• Kerberoasting;
• AS-REP roasting;
• Token Manipulation;
• Боковое перемещение с помощью Rubeus;
• Боковое перемещение с помощью Mimikatz;
• Выполнение команды с запланированными задачами;
• Выполнение команд с помощью WMI;
• Выполнение команд с помощью PowerShell Remoting;
• Неограниченное делегирование;
• Ограниченное делегирование;
• Ограниченное делегирование на основе ресурсов;
• Злоупотребление доверием к домену;
• MSSQL и боковое перемещение;
• Групповые политики и боковое перемещение;
• Privilege Escalation;
• PowerUp;
• UAC Bypass;
• Persistence;
• Startup folder;
• Domain Persistence;
• Mimikatz skeleton key attack;
• Права DCSync с помощью PowerView;
• Domain Controller DSRM admin;
• Изменение дескрипторов безопасности для удаленного доступа к WMI;
• Изменение дескрипторов безопасности для удаленного доступа PowerShell;
• Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
• DCShadow;
• Постэксплуатация;
• LSASS protection;
• Дамп учетных данных с помощью Mimikatz;
• Злоупотребление DPAPI с помощью Mimikatz;
• Dumping secrets without Mimikatz;
• Windows Defender evasion;
• Chisel proxying;
• Juicy files.
#AD #ИБ #Hack
Please open Telegram to view this post
VIEW IN TELEGRAM
BloodHound Unleashed.pdf
3 MB
• Очень полезная презентация (руководство), которая содержит все необходимые ссылки и информацию по изучению BloodHound.
• BloodHound — это популярный инструмент, который используется для сбора и анализа данных во время проведения пентеста внутренней инфраструктуры на базе Active Directory (AD). Этот инструмент позволяет визуализировать некорректные настройки объектов #AD и строить цепочки атак. Основная особенность — это использование теории графов при анализе данных.
#Пентест #BloodHound
Please open Telegram to view this post
VIEW IN TELEGRAM