Skip to content

BloodHound & LDAP Recon

[!tip] Think in Graphs AD no es una lista, es un grafo. BloodHound te dice CÓMO llegar de Usuario A a Domain Admin. Herramienta: SharpHound (Ingestor) + BloodHound (Visualizer).

1. Data Collection (Ingestors)

Necesitas un usuario válido del dominio (comprometido).

Desde tu Kali. Útil si tienes credenciales pero no acceso a una máquina Windows. 

bloodhound-python -u <USER> -p <PASS> -d <DOMAIN> -dc <DC_FQDN> -c All --zip
Output: ..._bloodhound.zip

Ejecutar desde una máquina comprometida en el dominio. 

.\SharpHound.exe -c All --zipfilename ad_data.zip

2. Analysis (The Queries)

Arranca neo4j y BloodHound en Kali. Sube el .zip. Ve a la pestaña Analysis.

Critical Queries

  1. Find Shortest Paths to Domain Admins: El mapa del tesoro.
  2. Find Principals with DCSync Rights: ¿Quién puede hacer DCSync?
  3. Find Principals with DCSync Rights: ¿Quién puede hacer DCSync?
  4. Find AS-REP Roasteable Users: Usuarios vulnerables.

3. Manual LDAP (Ldapsearch)

Si BloodHound falla o quieres ser sigiloso. 

# Dumpear todo
ldapsearch -x -H ldap://<DC_IP> -D '<USER>@<DOMAIN>' -w '<PASS>' -b "DC=htb,DC=local" > ldap_dump.txt

# Buscar "pass" en descripciones
grep -i "pass" ldap_dump.txt