cyber:ad:reconnaissance
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Prochaine révision | Révision précédente | ||
| cyber:ad:reconnaissance [2026/03/11 22:34] – créée ewen | cyber:ad:reconnaissance [2026/03/11 23:08] (Version actuelle) – ewen | ||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | ====== Reconnaissance Active Directory ====== | + | ====== |
| **Documentation rédigée par :** GADONNAUD Ewen | **Documentation rédigée par :** GADONNAUD Ewen | ||
| Ligne 11: | Ligne 10: | ||
| {{ : | {{ : | ||
| - | <note warning> | + | <note warning> |
| + | Les techniques présentées ici sont à des fins éducatives et de formation. Leur utilisation n'est légale que sur des environnements dont vous êtes propriétaire ou pour lesquels vous disposez d'une autorisation écrite explicite. | ||
| + | </ | ||
| ===== 1. Qu' | ===== 1. Qu' | ||
| + | |||
| L' | L' | ||
| **Composants clés à connaître :** | **Composants clés à connaître :** | ||
| + | |||
| ^ Terme ^ Définition ^ | ^ Terme ^ Définition ^ | ||
| | **Domain** | Unité d' | | **Domain** | Unité d' | ||
| Ligne 29: | Ligne 32: | ||
| **Pourquoi l'AD est une cible privilégiée ?** | **Pourquoi l'AD est une cible privilégiée ?** | ||
| + | |||
| Compromettre le Domain Controller = compromettre l' | Compromettre le Domain Controller = compromettre l' | ||
| ===== 2. Méthodologie de reconnaissance ===== | ===== 2. Méthodologie de reconnaissance ===== | ||
| + | |||
| La reconnaissance AD suit une progression logique : | La reconnaissance AD suit une progression logique : | ||
| + | |||
| < | < | ||
| 1. Découverte réseau | 1. Découverte réseau | ||
| Ligne 41: | Ligne 47: | ||
| On distingue deux types de reconnaissance : | On distingue deux types de reconnaissance : | ||
| + | |||
| ^ Type ^ Description ^ Outils ^ | ^ Type ^ Description ^ Outils ^ | ||
| | **Passive** | Sans authentification, | | **Passive** | Sans authentification, | ||
| | **Authentifiée** | Avec un compte du domaine (même bas privilège) | BloodHound, ldapdomaindump, | | **Authentifiée** | Avec un compte du domaine (même bas privilège) | BloodHound, ldapdomaindump, | ||
| - | <note tip>En situation réelle, un simple compte utilisateur du domaine suffit pour énumérer l' | + | <note tip> |
| + | En situation réelle, un simple compte utilisateur du domaine suffit pour énumérer l' | ||
| + | </ | ||
| ===== 3. Environnement de Laboratoire (Maquette) ===== | ===== 3. Environnement de Laboratoire (Maquette) ===== | ||
| + | |||
| < | < | ||
| Attaquant (Kali Linux) | Attaquant (Kali Linux) | ||
| + | IP : 192.168.1.206 | ||
| Mode réseau : Bridge | Mode réseau : Bridge | ||
| Ligne 58: | Ligne 69: | ||
| **Comptes configurés pour le TP :** | **Comptes configurés pour le TP :** | ||
| - | * '' | ||
| - | * '' | ||
| - | * '' | ||
| - | * '' | ||
| - | < | + | ^ Compte ^ Mot de passe ^ Rôle ^ Particularité ^ |
| - | '' | + | | '' |
| + | | '' | ||
| + | | '' | ||
| + | | '' | ||
| + | |||
| + | Sur Windows Server 2025, le pare-feu bloque les requêtes ICMP entrantes par défaut. Pour permettre le ping depuis la machine attaquante, la règle suivante a été ajoutée en PowerShell | ||
| + | <code powershell> | ||
| + | netsh advfirewall firewall add rule name=" | ||
| + | </code> | ||
| ===== 4. Découverte réseau ===== | ===== 4. Découverte réseau ===== | ||
| - | **Identifier les hôtes actifs | + | |
| + | **Ping scan — identification des hôtes actifs** | ||
| <code bash> | <code bash> | ||
| - | nmap -sn 192.168.1.0/ | + | nmap -sn 192.168.1.0/ |
| - | nmap -sV -p 88, | + | |
| </ | </ | ||
| - | **Ports caractéristiques d' | + | Résultat obtenu : |
| - | ^ Port ^ Service | + | < |
| - | | 88 | Kerberos | + | Starting Nmap 7.95 at 2026-03-11 21:49 CET |
| - | | 389 | LDAP | Interrogation de l'annuaire | | + | Host is up (0.012s latency). |
| - | | 445 | SMB | Partages, authentification NTLM | | + | MAC Address: 08: |
| - | | 636 | LDAPS | LDAP chiffré | + | Nmap done: 256 IP addresses (1 host up) scanned in 1.99 seconds |
| - | | 3268 | Global Catalog | + | </ |
| + | |||
| + | L' | ||
| + | |||
| + | **Scan des ports caractéristiques d' | ||
| + | <code bash> | ||
| + | nmap -sV -p 88, | ||
| + | </ | ||
| + | |||
| + | Résultat obtenu : | ||
| + | < | ||
| + | PORT | ||
| + | 80/ | ||
| + | 389/ | ||
| + | (Domain: lab.local0., | ||
| + | 445/ | ||
| + | 3268/tcp open | ||
| + | (Domain: lab.local0., | ||
| + | MAC Address: 08: | ||
| + | Service Info: Host: WIN-U64MI2E97RF; | ||
| + | </ | ||
| + | |||
| + | Les ports 389 (LDAP) et 3268 (Global Catalog) sont ouverts et confirment la présence d'un DC. Nmap a automatiquement récupéré le nom de domaine '' | ||
| + | |||
| + | ^ Port ^ État ^ Interprétation | ||
| + | | 80 | filtered | ||
| + | | 389 | open | LDAP disponible — annuaire | ||
| + | | 445 | open | SMB disponible — énumération des partages possible | ||
| + | | 3268 | open | Global Catalog | ||
| ===== 5. Enumération LDAP ===== | ===== 5. Enumération LDAP ===== | ||
| + | |||
| **Avec un compte du domaine** | **Avec un compte du domaine** | ||
| <code bash> | <code bash> | ||
| Ligne 91: | Ligne 135: | ||
| </ | </ | ||
| - | **Avec ldapdomaindump | + | Détail de la commande : |
| - | <code bash> | + | |
| - | ldapdomaindump | + | |
| + | * '' | ||
| + | * '' | ||
| + | * '' | ||
| + | * ''" | ||
| + | * '' | ||
| + | |||
| + | **Spécificité Windows Server 2025 — LDAP Signing** | ||
| + | |||
| + | Par défaut, Windows Server 2025 impose la signature des requêtes LDAP. Les requêtes non chiffrées sont rejetées avec l' | ||
| + | |||
| + | < | ||
| + | ldap_bind: Strong(er) authentication required (8) | ||
| + | additional info: 00002028: LdapErr: DSID-0C09035C, | ||
| + | requires binds to turn on integrity checking if SSL\TLS are not already | ||
| + | active on the connection, data 0, v65f4 | ||
| </ | </ | ||
| - | <note warning> | + | Pour reproduire un environnement de lab classique, |
| - | Par défaut, Windows Server 2025 impose l' | + | * Chemin : '' |
| - | Pour reproduire un environnement de CTF classique | + | * Paramètre : '' |
| - | * Chemin : '' | + | |
| - | * Paramètre : '' | + | Appliquer ensuite |
| - | Appliquer ensuite | + | <code powershell> |
| - | </note> | + | gpupdate /force |
| + | </code> | ||
| ===== 6. Suite de l' | ===== 6. Suite de l' | ||
| - | //(Les sections sur l' | ||
| - | | + | //(Les sections sur l' |
cyber/ad/reconnaissance.1773264897.txt.gz · Dernière modification : de ewen
