Inicio Tools for Active Directory
Entrada
Cancelar

Tools for Active Directory

Antes de comenzar con las tipos de explotación, técnicas & metodologías que uso a la hora de tratar de comprometer un Domain Controller es importante revisar la mayoría de herramientas que se usaran o las mas comunes que se emplean

ToolsDescripción
PowerView / SharpViewSe ocupa en Powershell y en un puerto .NET, puede ayudarnos a recopilar gran parte de los datos que recopila Bloodhound y es excelente para verificar que acceso adicional podemos tener con un nuevo conjunto de credenciales, apuntar a usuarios o computadoras especificas o por ejemplo ver que usuarios pueden ser Kerberoasting o ASREPRoasting
BloodHoundNos ayuda a trazar visualmente las relaciones de AD y ayuda a planificar rutas de ataque de algún otro modo, se utiliza con sharphound para que pueda procesar estos datos e importarla en la base de datos Neo4j de Bloodhound para analizar gráficamente los datos
SharpHoundEstá hecho en C# y recopila datos del AD sobre diversos objetos, la herramienta produce archivos JSON para que se puedan introducir a la base de datos de Bloodhound
BloodHound.pyEs una herramienta que viene en el kit de Impacket, se puede utilizar desde un host de ataque que no esté unido a un dominio, su output se incorpora a la GUI de Bloodhound para el análisis
KerbruteUna herramienta escrita en GO y utiliza la autenticación previa de Kerberos para enumerar cuentas de AD, usuarios válidos por Kerberos, contraseñas, etc.
Impacket toolkitColección de herramientas escritas en Python para interactuar con protocolos de red y contiene herramientas para enumerar y explotar el AD
ResponderHerramienta que sirve para envenenar protocolos LLMNR, NBT-NS y MDNS
CrackMapExec (CME)La famosa navaja suiza, herramienta de ataque y post-explotación que puede ayudarnos a la enumeración y realización de ataques con los datos que vayamos recopilando, abusa sobre todo de protocolos SMB, WMI, WINRM, LDAP y MSSQL
RubeusEs una herramienta creada en C# y su principal función es abusar de Kerberos
GetUserSPNs.pySirve para encontrar nombres principales de servicio vinculados a algún usuario (Service Principal Name)
enum4linuxSirve para enumerar información de sistemas Windows y Samba
ldapsearchIncorpora una interfaz para enumerar todo un dominio a través de LDAP
smbmapAyuda a enumerar recursos del sistema por SMB
psexec.pyPodemos acceder de manera remota a un sistema si tenemos los permisos de autenticación a nivel de red
wmiexec.pyNos permite acceder igual de manera remota a través de WMI
smbserver.pyEjecución simple de un servidor SMB, podemos compartir dicho servidor SMB a través de nuestra red para transferir archivos o agarrar autenticaciones
MimikatzRealiza muchas funciones como PASS-THE-HASH, extracción de contraseñas en texto claro y extracción de tickets en Kerberos de la memoria
secretsdump.pyHerramientas para hacer volcado de la SAM y LSA de un host
evil-winrmNos proporciona una shell interactiva a través del protocolo WinRM (puerto 5985)
mssqlclient.pyPodemos interactuar de manera remota a través de una base de datos MSSQL
ntlmrelayx.pyPodemos hacer ataques de relay por SMB
GetNPUsers.pySe utiliza para realizar el ataque ASREPRoasting para enumerar y obtener hashes AS-REP para usuarios con la configuración “No requiere autenticación previa de Kerberos”. Se pueden utilizar estos hashes para crackear de forma offline
ticketer.pyNos permite personalizar nuestros tickets TGT/TGS para crear un GoldenTicket Attack
RecursoEjemplos
ASN / IP registrarsIANA , arin para realizar búsquedas en América, RIPE para realizar búsquedas en Europa, BGP Toolkit
Domain Registrars & DNSDomaintools , PTRArchive , ICANN , solicitudes manuales de registros DNS contra el dominio en cuestión o contra servidores DNS conocidos, como 8.8.8.8.
Social MediaBuscar en Linkedin, Twitter, Facebook, los principales sitios de redes sociales de su región, artículos de noticias y cualquier información relevante que pueda encontrar sobre la organización.
Public-Facing Company WebsitesA menudo, el sitio web público de una corporación tendrá información relevante incorporada. Los artículos de noticias, los documentos incrustados y las páginas “Acerca de nosotros” y “Contáctenos” también pueden ser minas de oro.
Cloud & Dev Storage SpacesGitHub , depósitos de AWS S3 y contenedores de almacenamiento de Azure Blog , búsquedas en Google utilizando “Dorks”
Breach Data SourcesHaveIBeenPwned para determinar si alguna cuenta de correo electrónico corporativa aparece en los datos públicos de violación, Dehashed para buscar correos electrónicos corporativos con contraseñas de texto sin cifrar o hashes que podamos intentar descifrar sin conexión. Luego podemos probar estas contraseñas con cualquier portal de inicio de sesión expuesto (Citrix, RDS, OWA, 0365, VPN, VMware Horizon, aplicaciones personalizadas, etc.) que puedan usar autenticación AD.
Esta entrada está licenciada bajo CC BY 4.0 por el autor.