Técnicas - Active Directory Attacks -

    En este post estaré mostrando algunas técnicas y herramientas que nos servirán de mucha ayuda al momento de enumerar y atacar un AD (Active Directory), cabe mencionar que estas técnicas son las que yo suelo utilizar, a medida que voy aprendiendo otras nuevas. Luego de varios días practicando en la plataforma Hack The Box he aprendido varias cosas en base a la enumeración de maquinas windows que me han sido de mucha ayuda. También me he dado cuenta que hasta el mas mínimo detalle cuenta y que en donde menos te imaginas esta la llave para obtener acceso a nuestro blanco.

Primero empezamos por la parte de reconocimiento, esto para ver qué puertos tenemos abiertos y qué servicios estan corriendo en la maquina objetivo. Como muchos ya sabrán para esto es muy común utilizar la herramienta Nmap, aun que existen otras como masscan, zenmap y unicornscan.

Comandos Nmap:

• nmap -p- --max-retries=0 <IP-victima> (Output básico y rapido de puertos tcp abiertos)
• nmap -sC -sV <Ip-victima> (Output mas detallado, nombre de servicio, version, etc)
• nmap -p <puerto de interés> -sC --script vuln <Ip-victima> (Posibles vulnerabilidades)

Una vez que obtengo mi output de nmap siempre me fijo en los servicios mas comunes o conocidos que suelen estar en un AD, estos suelen ser dns=53, msrpc=135, netbios=139, ldap=389, smb=445 y kerberos=88. Para cada uno de ellos o la mayoría tenemos algunas herramientas que nos serán de ayuda para enumerarlos.

Tools:
 
    - smbclient

    - smbmap

    - nmblookup

    - rpcclient

    - ldapsearch

    - crackmapexec

    - dnsrecon

    - enum4linux

    - metasploit

HostName Enum:

    - nmblookup = nmblookup -A <IP>

Null sessions:

    - smbmap = smbmap -H <IP o HostName>

    - smbclient = smbclient //IP/ShareName

    - rpcclient = rpcclient -U "" -N <IP>

    - ldapsearch = ldapsearch -x -h <DomainName.com> -b "dc=DomainName,dc=com"


DNS:
   
    - dnsrecon = dnsrecon -d <DomainName>

    - dnsrecon = dnsrcon -d <DomainName> -t axfr (Zone Transfer)

Overall Scan:

    - enum4linux = enum4linux -a <IP>


Una vez enumerado por completo él AD en el mejor de los casos podríamos dar con usuarios, passwords, grupos y ShareNames. Estos muchas veces nos brindan información valiosa. Ahora la gran pregunta es "Que hago con todo esto?". Bueno existen varios caminos para poder acceder al AD de manera remota o incluso aprovechar una vulnerabilidad con toda esta información que se logro recopilar.

Maneras para accesar el AD haciendo uso de la información que tenemos.

Passwords Spray:

    - kerbrute passwordspray -d <Domain> <UsersList.Txt>  <Password>

    - crackmapexec smb <IP> -u <username> -p '(./mp64.bin Pass@wor?l?a)'

Autenticación con username y password:

    - smbclient -U <username> //IP/ShareName

    - crackmapexec smb <IP> -u <username> -p <password>


Existen muchas otras técnicas y herramientas de las cuales falta por aprender. Aquí les dejo una colección de clases escritas en python que es muy utilizada a la hora de trabajar con estos protocolos.

> https://github.com/SecureAuthCorp/impacket


En muchos de los casos estos ataques o extracción de data importante suelen ocurrir debido a la mala practica de los administradores de dichas redes o servidores. Algunos ejemplos de estas practicas son los passwords débiles o comunes, servicios sin actualizar los cuales son vulnerables, puertos abiertos innecesariamente, entre otras muchas cosas.

Espero que este post les sea de mucha ayuda para poner en practica lo aprendido en sus labs-virtuales o plataformas como Hack The Box en la cual he aprendido nuevas cosas. No olviden compartirlo en sus redes sociales y seguirnos en nuestra pagina de FaceBook.