SySS-Research/ldif2bloodhound
GitHub: SySS-Research/ldif2bloodhound
一个将 LDAP LDIF 文件转换为 BloodHound JSON 格式的工具,用于活动目录安全分析。
Stars: 46 | Forks: 2
# ldif2bloodhound
将 LDIF 文件转换为 BloodHound 可摄入的 JSON 文件。
需要两个单独的 LDIF 文件:一个用于基础 DN,另一个用于架构树。使用 `ldapsearch` 按如下方式获取它们:
```
$ LDAP_OPTS="-H ldap:// -D @corp.local -w -x \
-o ldif-wrap=no -E pr=1000/noprompt \
-E '!1.2.840.113556.1.4.801=::MAMCAQc=' -LLL -ZZ"
$ LDAPTLS_REQCERT=never ldapsearch $LDAP_OPTS \
-b "DC=corp,DC=local" '(objectClass=*)' > base_dn.ldif
$ LDAPTLS_REQCERT=never ldapsearch $LDAP_OPTS \
-b "CN=Schema,CN=Configuration,DC=corp,DC=local" '(objectClass=*)' > schema.ldif
```
如果 StartTLS 不起作用,请移除 `-ZZ` 标志并将 `ldap://` 替换为 `ldaps://`。或者,如果您想冒险,也可以保留 `ldap://`。
第二个 `-E` 参数是必需的,以便同时转储 ACL。
然后,转换过程如下所示:
```
$ ldif2bloodhound base_dn.ldif schema.ldif
```
更多选项,请运行 `ldif2bloodhound --help`。
明显的限制是,您无法获取有关会话或本地组成员身份的信息,这与使用 [ADExplorerSnapshot.py](https://github.com/c3c/ADExplorerSnapshot.py) 相同。
解析 LDIF 数据更类似于使用 `-c DCOnly` 参数运行 SharpHound(甚至可能信息更少)。
[BloodHound.py](https://github.com/fox-it/BloodHound.py) 在大多数场景下是收集这些数据的更好选择。
## 安装
使用以下命令安装:
```
$ uv tool install git+https://github.com/SySS-Research/ldif2bloodhound
# 或者:
$ pipx install git+https://github.com/SySS-Research/ldif2bloodhound
```
## 版权和许可
SySS GmbH, Adrian Vollmer。MIT 许可。
标签:Active Directory, AD枚举, BloodHound, JSON转换, LDAP, LDIF, Plaso, Python, 二进制发布, 域控制器, 安全合规, 开源工具, 数据导入, 数据提取, 文件转换, 无后门, 网络代理, 网络安全, 逆向工具, 隐私保护