CyberCheatsheets

La première heure de recon Active Directory

Quoi lancer, quoi éviter, et comment ne pas allumer tous les capteurs Kerberos le jour un.

Publié le 2 min de lecture
active-directoryreconwindows

Vous voilà sur un poste en utilisateur domaine bas privilège. Le collecteur BloodHound a échoué à cause de la policy .NET, et quelqu'un a déjà Kerberoasté tout le forest avant midi.

La première heure ce n'est pas l'énumération maximale. C'est construire une carte sans devenir l'événement le plus bruyant.

Ce que l'utilisateur a déjà

whoami /all
net user %username% /domain
net group "Domain Admins" /domain

whoami /groups dit si vous êtes sur une machine intéressante ou un pool VDI. Notez les groupes transitifs.

Vérifiez DC et suffixe DNS :

nltest /dclist:corp.local
ipconfig /all

Mauvais DNS sur le client VPN = LDAP dans le vide. Corrigez avant d'accuser les outils.

LDAP et SMB sans spray

ldapdomaindump -u 'corp\\user' -p 'Password1' ldap://dc01.corp.local -o ldap-out

Ou enum4linux-ng pour un résumé rapide depuis Linux.

Gardez netexec pour quand vous avez des creds confirmés. --users sur tout sites.txt à la dixième minute, c'est comment un test interne se met en pause.

BloodHound quand ça passe

Utile si l'ingestion réussit. Sur poste verrouillé, les collecteurs échouent et le LDAP volume reste visible.

Si exécution bloquée : ACL manuelles sur partages lisibles, GPO depuis SYSVOL, sessions seulement sur hôtes in scope.

La cheat sheet bloodhound aide une fois les JSON ingérés.

Budget bruit Kerberos

Kerberoasting et AS-REP sont efficaces et bruyants. Alignez-vous avec le client sur les Event 4769.

kerbrute : lisez le seuil de lockout dans les règles d'engagement avant de le tester.

rubeus après avoir compris les tickets, pas en macro première heure.

Forme du forest en une page

Nombre de domaines, sens des trusts, conventions de nommage (SRV-, SQL-). Les lab mal étiquetés à côté de la prod ont grillé des équipes.

Notez le nombre de domaines, la direction des trusts, les conventions de nommage (SRV-, SQL-, DEV-). Un lab mal étiqueté à côté de la prod a déjà brûlé des équipes qui supposaient un seul niveau de sensibilité.

À soixante minutes : contexte user, liste DC, quelques file servers, une hypothèse de chemin de privilège. Pas de spray massif, pas de collecteur BloodHound qui échoue bruyamment. Le reste c'est jour deux avec des creds ou un angle clair.

Articles liés

Des scans nmap qui tiennent sur de vrais réseaux

Timing, UDP et pièges de détection de service sur les réseaux clients bruyants pendant un pentest autorisé.

nmapscanningrecon