La primera hora de recon en Active Directory
Qué ejecutar, qué evitar y cómo no encender todos los sensores Kerberos el día uno.
Aterrizaste como usuario de dominio bajo privilegio. BloodHound falló por policy .NET y alguien ya Kerberosteó todo el forest antes del almuerzo.
La primera hora no es enumeración máxima. Es mapa sin ser el evento más ruidoso. Disparar todo en sesenta minutos enseña sobre todo cuán rápido pausan un test interno.
DNS mal en VPN manda LDAP al vacío. Arregla eso primero. whoami /all y grupos transitivos. Contexto antes de ruido.
Lo que el usuario ya tiene
whoami /all
net user %username% /domain
net group "Domain Admins" /domain
nltest /dclist:corp.local
ipconfig /all
DNS mal en VPN = LDAP al vacío.
LDAP ligero
ldapdomaindump -u 'corp\\user' -p 'Password1' ldap://dc01.corp.local -o ldap-out
enum4linux-ng para resumen rápido.
netexec cuando tengas creds. --users masivo en minuto diez pausa el test.
BloodHound
La cheat sheet bloodhound ayuda con JSON ingestado. Si el colector falla, ACL manual en shares y GPO en SYSVOL.
Kerberos
kerbrute y rubeus después de leer lockout en las reglas.
BloodHound cuando falla
Si el colector no corre, pivota a ACL en shares legibles, GPO en SYSVOL si es accesible, sesiones solo en hosts in scope. LDAP volumen también se ve en SIEM.
Kerberos con presupuesto de ruido
Kerberoasting efectivo y ruidoso. Coordina Event 4769 con el cliente. kerbrute solo si lockout está claro en reglas. rubeus cuando entiendes tickets.
Forma del forest
Cuenta dominios, trusts, naming (SRV-, SQL-). Labs mal etiquetados junto a prod queman equipos.
A los sesenta minutos
Contexto user, DCs, file servers, una hipótesis de privilegio. Sin spray masivo ni collectors fallidos ruidosos. Día dos con creds o ángulo claro.
Kerberoasting ruidoso: coordina Event 4769. Lockout en reglas, no adivinanza. BloodHound si ingesta funciona; si no, ACL en shares y GPO en SYSVOL.