Demostramos los pasos seguidos para realizar pruebas de penetración para máquinas Windows con Active Directory instalado. Aumentamos nuestros privilegios con Mimikatz y winrm. Esto fue parte del recorrido secreto de Cybeseclabs.
Reflejos
Los puertos comunes están abiertos. Kerberos está en el número 88 y podemos intentar aplicar fuerza bruta para obtener el recuento de usuarios. Cuando los puertos SMB están abiertos, normalmente es una buena idea consultar aquí primero. Otra buena área para verificar es si LDAP está funcionando, lo cual es una buena indicación de que se trata de un cuadro de directorio activo. 3389 es accesible y proporciona cierta información de dominio y NetBIOS.
La enumeración SMB es donde comenzamos y produce una contraseña de texto sin cifrar. Localizamos al usuario en el dominio que está utilizando la contraseña mediante una lista de usuarios potenciales. A partir de ahí, se descubrió que las credenciales de inicio de sesión automático estaban presentes en el registro y que eran válidas para un usuario diferente que, como resultado de una membresía en un grupo anidado demasiado liberal, tenía privilegios de replicación sobre el objeto de dominio.
Tutorial en vídeo