# Команды AD recon С гитхаба взять raw версию, т.к. баннер некорректно скачивается архивом Коллеги, привет! Просьба к занятию в среду подготовить небольшой локальный стенд для атак на AD: 1. Создать лес с корневым доменом lab.local, в домене lab.local должен быть как минимум 1 DC (Windows Server 2019), 1 сервер (Windows Server 2019) и 1 рабочая станция (Windows 10). В лесу lab.local создать домен test.local (1 DC). 2. На контроллере домена lab.local выполнить след. скрипт: IEX((new-object net.webclient).downloadstring("https://raw.githubusercontent.com/wazehell/vulnerable-AD/master/vulnad.ps1")); Invoke-VulnAD -UsersLimit 100 -DomainName "lab.local" 3. Иметь недоменную Windows 10 и машину с Kali Linux в той же сети. Еще просьба на доменной и недоменной Windows 10 поставить RSAT: Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability -Online IEX((new-object net.webclient).downloadstring("https://raw.githubusercontent.com/wazehell/vulnerable-AD/master/vulnad.ps1")); . .\vulnad.ps1 ИЛИ import-module .\vulnad.ps1 Invoke-VulnAD -UsersLimit 100 -DomainName "lab.local" Прописываем DNS, WINS, суффикс Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability -Online nslookup -type=SRV _ldap._tcp.dc._msdcs.lab.local lab.local child.lab.local us.child.lab.local test.local В репе https://github.com/PowerShellMafia/PowerSploit/tree/master/Recon в релизах старая версия PV. Нужно качать код. .\SharpHound.exe -c All,LoggedOn,GPOLocalGroup,LocalGroup https://twitter.com/n00py1/status/1508868743451090944?s=20&t=Uktx170vtJevUupg5qDYyw - крутые хинты https://github.com/SadProcessor/Cheats/blob/master/DogWhispererV2.md https://blog.compass-security.com/2020/07/make-the-most-out-of-bloodhound/ https://medium.com/@riccardo.ancarani94/bloodhound-tips-and-tricks-e1853c4b81ad https://hausec.com/2019/09/09/bloodhound-cypher-cheatsheet/ https://github.com/mgeeky/Penetration-Testing-Tools/blob/master/red-teaming/bloodhound/Handy-BloodHound-Cypher-Queries.md https://github.com/knavesec/Max - maximize bloodhound 1. runas - runas /USER:DOMAIN.LOCAL\user /netonly "powershell -ep bypass" 2. ctrl+shift + right click -> run as user 3. powershell -credential 4. mimikatz sekurlsa::pth https://www.blackhat.com/docs/us-17/wednesday/us-17-Robbins-An-ACE-Up-The-Sleeve-Designing-Active-Directory-DACL-Backdoors-wp.pdf $elka_sid = Get-DomainUser elka* | select -ExpandProperty objectsid Get-domainObjectACL "DC=lab,DC=local" -ResolveGUIDs | Where-Object {$_.securityidentifier -eq $elka_sid} object specifi ACE: ObjectAceType : DS-Replication-Get-Changes-All https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc773178(v=ws.10)