BOFHound 使用教程

1、项目介绍

BOFHound 是一个开源项目，旨在将来自 TrustedSec's ldapsearch BOF、pyldapsearch 和 Brute Ratel's LDAP Sentinel 等工具的日志文件转换为 BloodHound 兼容的 JSON 格式。这使得操作员能够在使用 BloodHound 的界面进行操作的同时，完全控制 LDAP 查询的执行方式和速度。

2、项目快速启动

安装

您可以通过以下命令来安装 BOFHound：

pip3 install bofhound

或者，您可以从 GitHub 仓库克隆项目并手动安装：

git clone https://github.com/fortalice/bofhound.git
cd bofhound
pip3 install .

使用示例

以下是一些使用 BOFHound 的基本示例：

• 将 Cobalt Strike 日志中的 BOF 结果解析到 /data/ 目录：

  bofhound -o /data/
  

• 解析 pyldapsearch 日志，并包含所有属性（而不是仅包含常用属性）：

  bofhound -i ~/pyldapsearch/logs/ --all-properties
  

• 解析来自 BRc4 日志的 LDAP Sentinel 数据：

  bofhound --brute-ratel ldapsearch
  

3、应用案例和最佳实践

BOFHound 在 Active Directory 侦察和攻击路径分析中非常有用。以下是一些应用案例和最佳实践：

• 在手动枚举 AD 对象时，使用 BOFHound 解析 LDAP 查询结果，以便在 BloodHound 中进行可视化分析。
• 在进行渗透测试或红队演习时，使用 BOFHound 避免触发检测机制，同时利用 BloodHound 的界面进行数据分析和攻击路径规划。
• 将 BOFHound 与其他侦察工具（如 SharpHound）结合使用，以获取更全面的信息。

4、典型生态项目

以下是与 BOFHound 相关的一些典型生态项目：

• BloodHound: 一个用于分析 Active Directory 的开源工具，用于识别潜在的攻击路径。
• SharpHound: 一个用于收集 Active Directory 信息并生成攻击图的工具。
• TrustedSec's BOFs: TrustedSec 提供的一系列用于侦察 Active Directory 的工具，包括 ldapsearch BOF、pyldapsearch 和 LDAP Sentinel。
• Cobalt Strike: 一个用于渗透测试和红队演习的工具，具有强大的攻击功能。

通过使用这些工具和 BOFHound，您可以更有效地进行 Active Directory 侦察和攻击路径分析。