【原创文章】🔥BloodHound域信息收集工具🔥

BloodHound 域信息收集工具介绍

BloodHound 是一款 用于分析和可视化 Active Directory（AD）权限和攻击路径的工具，主要用于 渗透测试、红队评估、域环境权限分析。它能够帮助安全研究人员识别 域内权限提升、横向移动、关键资产 等攻击路径。

BloodHound 由 Neo4j 图数据库 和 数据收集工具（Sharphound） 组成，可直观展示 用户、组、计算机、权限 之间的关系，是 攻击者 发现漏洞的强大工具，同时也是 防御者 进行安全加固的重要参考。

全是英文的，无中文，研究起来得翻译比较费劲，建议暂时不用去特地去研究数据展示的意思，先研究如何搭建和获取信息，拿到某机子，可以作为备用信息收集放着，需要某个信息再去研究，可以不用，不能没有，而且一般中大型项目才会上这个

主要功能

🔹 域权限 & 组策略分析：分析 AD 中的用户、组、计算机、权限、委派关系等
🔹 发现攻击路径：帮助攻击者/防御者识别 从普通用户到域管（DA）的最短路径
🔹 横向移动 & 权限提升：检测可能的 Pass-the-Hash（PtH）、Pass-the-Ticket（PtT）、Kerberoasting、DCSync 等攻击方式
🔹 可视化权限关系：使用 图数据库 存储数据，并通过 图形界面 展示域结构
🔹 离线分析：可在 无网络访问 的环境下分析数据，适用于渗透测试和取证分析
🔹 防御者辅助工具：帮助 安全团队 识别并修复不必要的权限，提高 AD 安全性

组件介绍

（1）BloodHound（主程序）

• 基于 Neo4j 图数据库，用于 存储 & 分析 Active Directory 数据
• 通过 可视化界面 展示域内关系和攻击路径
• 主要用于 数据查询、分析、导出攻击路径

（2）SharpHound（数据收集工具）

• C# 编写的收集器，用于从域控制器中提取 AD 相关信息
• 以 可执行文件（.exe）、PowerShell 脚本（.ps1）、Cobalt Strike 模块 形式运行
• 采集数据后，将其转换为 JSON 格式，然后导入 BloodHound 进行分析

使用方法（AI查询的方法，后面有自己写的教程）

（1）安装 BloodHound

BloodHound 需要 Neo4j 图数据库，安装步骤如下：

# 下载并安装 Neo4j
sudo apt update && sudo apt install neo4j -y
# 启动 Neo4j
neo4j console

• 账号：neo4j
• 初始密码：neo4j（首次登录需修改）

安装 BloodHound：

# 下载 BloodHound
git clone https://github.com/BloodHoundAD/BloodHound.git
cd BloodHound
npm install
npm start

（2）数据收集（SharpHound）

在目标域内运行 SharpHound.exe 进行数据采集：

.\SharpHound.exe -c All

采集模式（-c 参数）：

• All：收集所有信息（用户、计算机、组、会话、ACL等）
• Default：默认模式（推荐）
• LoggedOn：收集已登录用户
• Session：收集会话信息
• ACL：收集访问控制列表（ACL）信息

采集后的数据会生成 ZIP 文件，可以手动上传到 BloodHound 进行分析。

（3）数据分析

1. 在 BloodHound 界面 上传 ZIP 数据
2. 使用 查询语言（Cypher） 进行分析，例如：

MATCH (n) RETURN n  # 查询所有节点
MATCH p=shortestPath((n:User)-[*1..]->(m:Domain Admins)) RETURN p  # 查询用户到域管的路径

结合可视化图表，分析潜在的攻击路径

原创教程(第一次研究的时候简单写的)

一：环境需要Java，这个不多说
安装neo4j环境，启动服务，如果是win环境就下载win，反之linux等

Neo4j官网：https://neo4j.com/

在上方选择栏中选择“Products”，在其中选择“Deployment Center”，点击“Download Neo4j to get started”

 然后往下翻，找到“Graph Database Self-Managed”，选择“Community”（社区版，也就是免费版），在系统选择那一栏选择Windows系统，之后点击“Download”下载即可

下载解压进入bin目录进入cmd，输入neo4j.bat console

登陆后台http://localhost:7474
URL为：http://localhost:7687
用户名默认为：neo4j
密码默认为：neo4j
第一次启动会让修改密码

二：下载BloodHound服务端：
https://github.com/BloodHoundAD/BloodHound/releases/
选择自己的系统，如果是windows，解压后启动BloodHound.exe

输入账号neo4j，密码为刚刚自己设置的
进来是空的界面，因为我这个导入过数据所以有信息

三：然后就是采集信息
先下载采集工具
https://github.com/BloodHoundAD/BloodHound/tree/master/Collectors
选择需要的采集工具，有源代码，已编译的，ps文件，这里方便就选择已编译的，然后上传到某个域的目标
启动控制台运行采集工具，默认直接运行会本地生成数据，可以参数选择生成数据目录
SharpHound.exe –OutputDirectory C:\temp\
运行后会生成压缩包，传到自己电脑，直接整个数据包拖到刚刚启动的BloodHound程序里面
到这里搭建就差不多结束，已下是相关文章
https://bloodhound.readthedocs.io/en/latest/index.html
https://keeponline.cn/2021/01/19/Bloodhound/
https://xz.aliyun.com/t/7311
https://bbs.2ba.cc:8888/BloodHound.html
工具下载地址：https://github.com/BloodHoundAD/BloodHound

适用场景

✅ 红队渗透测试：攻击者用于发现域环境中的安全漏洞
✅ 蓝队防御评估：安全团队用于分析 潜在权限提升路径，加固 AD 结构
✅ 取证分析：在安全事件发生后，追踪攻击者的活动路径
✅ 安全加固：查找 过度赋权账户、弱 ACL、委派滥用 等问题

典型攻击场景

攻击方式	描述	可能影响
Kerberoasting	通过 TGS 请求导出 Service Account 哈希	可能导致域管理员密码泄露
Pass-the-Hash (PtH)	使用 NTLM 哈希进行身份验证	允许攻击者横向移动
DCSync 攻击	伪造 DC 账户，窃取 NTDS.dit 数据库	域控完全失陷
ACL 攻击	滥用 AD 访问控制权限进行权限提升	攻击者可获得更高权限
Lateral Movement（横向移动）	通过 RDP、SMB、WinRM、WMI 访问其他计算机	攻击者可扩展控制范围

BloodHound vs. 其他 AD 分析工具

工具	功能	适用场景	可视化
BloodHound	详细 AD 关系分析	渗透测试 / 蓝队防御	✅ 是
PingCastle	AD 安全评分 & 关键风险分析	防御 / 审计	❌ 否
ADExplorer	交互式 AD 浏览工具	AD 结构查看	❌ 否
PowerView	PowerShell AD 侦察工具	红队渗透	❌ 否

防御建议

🔹 最小权限原则（Least Privilege）：限制用户 & 组权限，防止权限滥用
🔹 检测异常登录 & 横向移动：使用 SIEM、EDR 监控可疑行为
🔹 清理旧账户 & 弱密码：定期审计 AD 账户，防止 Kerberoasting
🔹 限制 DC 同步权限：防止 DCSync 攻击
🔹 禁用不必要的协议：如 SMBv1、LLMNR、NTLM，减少攻击面

总结

✅ BloodHound 是红队和蓝队都必须掌握的 AD 权限分析工具，可用于识别 权限提升路径、横向移动方式、关键资产 等
✅ 利用 SharpHound 进行数据采集，并结合图数据库进行分析，可以清晰展示 域环境中的潜在安全风险
✅ 不仅适用于攻击者寻找漏洞，也适用于防御者加强 AD 安全

🚀 如果你是渗透测试人员、安全工程师或 IT 管理员，BloodHound 绝对是你的 AD 安全分析利器！

官方环境和文档

GitHub：https://github.com/BloodHoundAD/BloodHound
收集数据：https://github.com/BloodHoundAD/BloodHound/tree/master/Collectors
neo4j数据库环境：https://neo4j.com/download-center/#community
官方文档：https://bloodhound.readthedocs.io/en/latest/index.html