🛡 Active Directory (AD) — основа безопасности корпоративных сетей, но именно её сложность и масштабируемость делают её лакомой целью для атак. Серия статей Pentesting Active Directory — Complete Guide от Hacklido — это детальный гид по пентесту AD, от базовых концепций до продвинутых техник атак. Давайте разберем, что внутри.
#AD #ActiveDirectory #Microsoft #Windows #pentest

🔗 Часть 1: Деревья, леса и Trusts
Здесь всё начинается с фундамента. Active Directory — это не просто база пользователей, а сложная иерархия доменов, деревьев (trees) и лесов (forests). Ключевые моменты:
Domain Controller — сердце AD, управляющее аутентификацией и авторизацией.
Trusts — доверительные отношения между доменами. Например, Transitive Trust позволяет автоматически распространять доверие на все домены в лесу.
BloodHound — инструмент для визуализации связей в AD. С его помощью можно найти уязвимые пути доступа к Domain Admins.

Совет: Если злоумышленник получает доступ даже к обычному пользователю, он может начать маппинг домена через BloodHound и искать слабые места, вроде устаревших политик или неправильно настроенных trust-отношений.

🔗 Часть 2: Golden Ticket и атаки на KRBTGT
Kerberos — стандарт аутентификации в AD, но его уязвимости (например, Zerologon) позволяют эскалировать привилегии до Domain Admin.
Golden Ticket — поддельный TGT-билет, дающий неограниченный доступ. Для его создания нужен хэш аккаунта KRBTGT.
Пример атаки: Используя Mimikatz, злоумышленник дампит хэш KRBTGT с контроллера домена и генерирует Golden Ticket для доступа к любым ресурсам.

Важно: KRBTGT — это сервисный аккаунт, и его компрометация равна полному контролю над доменом. Регулярная смена его пароля — must have.

🔗 Часть 3: Разведка с PowerView и BloodHound
Рекон — это 80% успеха атаки. Инструменты:
PowerView — скрипт для сбора данных о пользователях, группах, GPO. Например, Get-DomainUser -SPN найдет сервисные аккаунты, уязвимые для Kerberoasting.
Adalanche — аналог BloodHound, но с упором на анализ ACL (прав доступа к объектам AD).

Лайфхак: Команда Invoke-ACLScanner в PowerView покажет, у кого есть права на изменение критичных объектов, вроде группы Domain Admins.

🔗 Часть 4: LLMNR/NBT-NS Poisoning
Старая, но живая техника. Если в сети включен LLMNR, атакующий может перенаправлять трафик жертвы на свой сервер и перехватывать хэши паролей.
Responder — инструмент для подмены ответов на DNS-запросы. Пример: python3 responder.py -I eth0 -rdwv запустит сервисы SMB и HTTP для кражи NTLMv2-хэшей.
Взлом хэшей: Hashcat в режиме -m 5600 (NTLMv2) или использование John the Ripper.

Проблема: Даже сложные пароли уязвимы, если не используется двухфакторная аутентификация.

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

🔗 Часть 5: Lateral Movement и PrivEsc
Когда атакующий внутри сети, цель — двигаться горизонтально и эскалировать привилегии.
Pass-the-Hash — использование украденных хэшей для доступа к другим машинам.
Mimikatz — не только для дампа паролей. Команда sekurlsa::pth позволяет инжектить хэш в сессию.
Rubeus — для атак на Kerberos (AS-REP Roasting, S4U2Self).

Пример: Если пользователь входит в группу Backup Operators, можно дампить SAM/SYSTEM через Volume Shadow Copy и получить хэши администратора.

🔗 Часть 6: Persistence и атаки на доверие между лесами
После взлома важно сохранить доступ. Методы:
Golden/Silver Ticket — билеты Kerberos с длительным сроком действия.
DCsync — имитация контроллера домена для синхронизации данных (требует прав DA).
Cross-Forest Attacks — если домены доверяют друг другу, можно использовать Trust Tickets для доступа к ресурсам в другом лесу.

Совет: Мониторьте события 4769 (запросы TGS) и 4662 (доступ к объектам AD) для обнаружения аномалий.

🔗 Часть 7: Уязвимые шаблоны сертификатов (ESC1)
AD Certificate Services (ADCS) — новая цель для атак. Шаблоны сертификатов с опцией Enrollee Supplies Subject позволяют запросить сертификат для любого пользователя, включая Domain Admins.
Certipy — инструмент для поиска уязвимых шаблонов и генерации сертификатов. Пример:

certipy req -u user@domain -p 'pass' -ca CA-NAME -template VULN-TEMPLATE -upn admin@domain

Полученный сертификат используется для аутентификации как администратор.

Фикс: Отключите опасные настройки в шаблонах и ограничьте права на выдачу сертификатов.

‼️Итог
Серия статей Hacklido — это must have для начинающих инфраструктурных пентестеров или тех, кто подзабыл базовые вещи. А также сис админам-энтузиастам, которые хотят обезопасить свою компанию). От базового понимания структуры AD до сложных атак вроде Golden Ticket или эксплуатации ADCS — гайд покрывает все этапы пентеста. Главные выводы:
Мониторинг — ключ к обнаружению аномалий в AD.
Минимизация привилегий — заблокируйте ненужные права (например, отключите LLMNR и NBT-NS).
Обновления и патчи — многие атаки (Zerologon, PrintNightmare) эксплуатируют старые уязвимости.
📦 И помните: AD — не черный ящик. Понимание её работы и своевременная настройка — лучшая защита от атак.

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч