Active Directory

Kopyala-calistir komut akisi: kimlik yokken (nxc null, enum4linux, kerbrute, GetNPUsers) -> kullanici elde edince (nxc dogrula, GetUserSPNs, bloodhound-python) -> Domain Admin'e (secretsdump DCSync, evil-winrm, golden ticket) giden minimum komut zinciri. Sira halinde, her satir bir TOKEN ile.

AD pentest metodolojisinin ust-seviye haritasi: kimlik bilgisi yokken anonymous enum -> ilk kullanici (spray/AS-REP/NTLM relay/web foothold) -> kimlikli enum + BloodHound -> ayricalik yukseltme (Kerberoast/ACL/delegation/ADCS) -> DCSync/NTDS ile Domain Admin -> persistence. Her asamada hangi tekniklerin hangi onkosulla denenecegini siralar.

Ad çözümleme yedek protokolleri (LLMNR/NBT-NS/mDNS) ve IPv6 DHCPv6/WPAD zehirlenmesiyle kurban makinelerden NetNTLMv2 hash yakalanır; hash ya offline kırılır ya da ntlmrelayx ile relay edilir. Credentialsiz bir ağ ayağı için klasik ilk adımdır.

BloodHound CE/legacy kurulumu, bloodhound-python ve SharpHound ile veri toplama, ve toplanan grafikteki HER kenarin (GenericAll, WriteDacl, AllowedToAct, ReadLAPSPassword vb.) somut istismar tekniğine eslenmesi ile Domain Admins'e en kisa yolun bulunmasi.

Gecerli bir domain kullanici kimligi (parola veya NT hash) ele gecirildikten sonra LDAP/SMB uzerinden kullanicilar, gruplar, parola politikasi, GPO ve ACL bilgilerini cikararak saldiri yuzeyini haritalandirma.

Kimlik bilgisi yokken AD'den bilgi cek: anonymous SMB share listeleme (nxc -u '' -p '' --shares), LDAP anonymous bind ile naming context/RootDSE, enum4linux-ng ile toplu enum, rpcclient ile enumdomusers/querydominfo, RID cycling/lookupsid ile SID->kullanici cevrimi ve ldapsearch ile -x anonymous sorgular.

Gecerli AD kullanici adlarini ortaya cikar: Kerberos pre-auth ile kerbrute userenum (lockout-suz), RID cycling icin lookupsid/NetExec --rid-brute, OSINT isimlerinden username-anarchy ile kullanici-adi permutasyonu uret ve dis yuzeyde OWA/Exchange'e karsi MailSniper ile zaman-tabanli enum. Cikan liste spray/AS-REP/Kerberoast'in girdisidir.

Kerberos ön kimlik doğrulaması (pre-authentication) devre dışı bırakılmış (DONT_REQ_PREAUTH) hesaplar için AS-REP yanıtındaki şifreli bloğu çekip offline kırma. impacket-GetNPUsers, netexec --asreproast, Rubeus asreproast ile toplanır; hashcat -m 18200 ile kırılır.

AD saldırılarından toplanan hash'leri offline kırma referansı: hashcat modları -m 18200 (AS-REP), -m 13100 (Kerberoast TGS), -m 1000 (NTLM), -m 5600 (NetNTLMv2); kural (rules) tabanlı saldırı; {{WORDLIST}} kullanımı; john eşdeğerleri.

SPN'e (Service Principal Name) sahip servis hesapları için TGS-REP biletleri istenip, servis hesabının NT hash'iyle şifrelenen kısmı offline kırılır. impacket-GetUserSPNs -request, netexec --kerberoasting, Rubeus kerberoast ile toplanır; GenericWrite ile targeted kerberoast; hashcat -m 13100.

Geçerli kullanıcı listesine karşı tek bir zayıf/ortak parolayı deneyerek hesap kilitlenmesine takılmadan ilk geçerli kimlik bilgisini elde etme. kerbrute, netexec (SMB/LDAP/Kerberos) ile uygulanır; lockout policy farkındalığı kritiktir.

RESOURCED kutusunun bastan sona cozumu: SMB null session + RID brute ile kullanici listesi, V.Ventz description alanindaki parola, yedek share icindeki ntds.dit + SYSTEM yedeginden offline secretsdump ile L.Livingstone NT hash cikarma, WinRM uzerinden Pass-the-Hash, ardindan RESOURCEDC computer objesi uzerindeki GenericAll'i RBCD'ye cevirip Administrator impersonation ile Domain Admin.

AD Certificate Services yanlış yapılandırmaları (ESC1–ESC16) ile düşük-yetkili kullanıcı, kendisini Administrator olarak belirten bir sertifika talep edip o sertifikayla PKINIT üzerinden TGT/NT hash alır. Certipy find -vulnerable ile tarama, req ile talep, auth ile kimlik; LDAPS imzalama varsa PassTheCert.

DnsAdmins grubu üyeleri DNS servisini yönetebilir. dnscmd ile serverlevelplugindll parametresine UNC paylaşımındaki kötü amaçlı bir DLL yüklenir; DNS servisi (DC üzerinde dns.exe) yeniden başlatıldığında DLL SYSTEM olarak çalışır ve Domain Controller tam ele geçirilir.

Domain icinde dolasan kimlik bilgilerini topla: SYSVOL'deki Groups.xml GPP cpassword (statik AES anahtariyla decrypt edilir), paylasimlardaki/registrydeki/dosyalardaki sifreler, ve makine uzerinde LSA secrets + SAM hash'leri. Tek bir cleartext sifre veya hash genelde yatay/dikey hareketin anahtaridir.

Replicating Directory Changes (DS-Replication-Get-Changes / -All) hakkina sahip bir principal'la, bir DC'yi taklit ederek tum domain'in NTLM hash'lerini (krbtgt dahil) DRSUAPI replikasyon protokolu uzerinden cekersin. NTDS.dit'e fiziksel erisim gerekmeden. krbtgt hash'i = Golden Ticket.

Local admin / SYSTEM ile lsass.exe process'ini bellekten dumplayip cleartext sifre, NTLM hash, Kerberos bileti cikar. Disk'e minidump al (comsvcs.dll, procdump, nanodump) ve offline pypykatz/mimikatz ile parse et — boylece AV'nin live mimikatz tespitinden kacarsin.

DC'de local admin/SYSTEM oldugunda, kilitli NTDS.dit dosyasinin shadow copy'sini al (vssadmin/diskshadow/ntdsutil IFM), SYSTEM hive ile birlikte cek ve offline secretsdump -ntds -system LOCAL ile tum domain hash'lerini bootkey kullanarak coz. DRSUAPI yerine fiziksel dosya tabanli yontem.

Domain Admin/DCSync hakları elde edildikten sonra erişimi kalıcılaştırmak için krbtgt golden ticket, DSRM backdoor, skeleton key, custom SSP, DCShadow, AdminSDHolder ve DCSync ACL backdoor teknikleri uygulanır.

krbtgt veya servis hesabı NT hash'i ele geçirildikten sonra TGT/TGS biletleri offline sahte üretilerek (Golden/Silver) veya gerçek bir TGT taban alınarak (Diamond) domain genelinde kalıcı yetkili erişim elde edilir.

BloodHound'da çıkan nesne ACL haklarını (GenericAll, GenericWrite, WriteDacl, WriteOwner, AddMember, ForceChangePassword, AddKeyCredentialLink, ReadGMSAPassword) bloodyAD / PowerView / impacket / Certipy / pyWhisker ile somut yetki yükseltmeye çeviren saldırı zinciri.

Bir DC veya sunucuyu MS-EFSRPC/MS-RPRN/MS-DFSNM ile kontrolündeki host'a authenticate olmaya ZORLARSIN, gelen makine kimliğini ntlmrelayx ile LDAP'e (RBCD/escalate) ya da ADCS web kayıt servisine (ESC8) relay edip DC kimliğini ele geçirirsin. SMB signing ve EPA zayıflığı sömürülür.

msDS-AllowedToDelegateTo tanımlı bir hesap (kullanıcı veya bilgisayar) ele geçirildiğinde, S4U2Self + S4U2Proxy ile herhangi bir kullanıcı (ör. Administrator) adına izinli SPN'lere bilet alınabilir. impacket-getST -spn ... -impersonate Administrator veya Rubeus s4u kullanılır; protocol transition (TRUSTED_TO_AUTH_FOR_DELEGATION) gerekir.

Unconstrained delegation yetkili bir bilgisayara erişim ele geçirildiğinde, ona kimlik doğrulayan her hesabın TGT'si bellekte saklanır. Rubeus monitor ile TGT toplanır, PrinterBug/PetitPotam ile DC bilgisayar hesabı zorla kimlik doğrulamaya itilir, yakalanan DC TGT ile DCSync yapılır.

Bir GPO üzerinde yazma (WriteProperty/WriteDacl/GenericWrite) hakkınız varsa, GPO'ya bir Immediate Scheduled Task veya logon/startup script enjekte edersiniz. GPO'nun bağlı olduğu (linked) tüm OU'lardaki bilgisayar/kullanıcılar policy yenilenince payload'u çalıştırır; computer-side task SYSTEM olarak koşar.

LAPS ile yonetilen makinelerin yerel Administrator parolasini, okuma yetkisi (ReadLAPSPassword/All Extended Rights) olan bir principal ile LDAP'tan cekip yatay harekette kullanma.

Ele geçirilen kimlik bilgileriyle (parola, NT hash, Kerberos bileti) domain içinde başka makinelere geçme: NetExec/Impacket exec aileleri (-hashes), Pass-the-Ticket (KRB5CCNAME + -k -no-pass), OverPass-the-Hash (Rubeus asktgt), evil-winrm -H, RDP PtH ve token taklit.

Domain entegre MSSQL'e Windows auth ile bağlanıp xp_cmdshell ile RCE, linked server / EXECUTE AS ile yetki yükseltme ve xp_dirtree ile servis hesabının NetNTLM hash'ini çalıp relay/crack etme.

Hedef bilgisayar nesnesi üzerinde GenericWrite/GenericAll/WriteDACL haklarına sahip olunduğunda, kontrol edilen bir computer hesabı (impacket-addcomputer ile oluşturulan) hedefin msDS-AllowedToActOnBehalfOfOtherIdentity alanına yazılır. Ardından impacket-getST -spn cifs/{{DC_HOST}} -impersonate Administrator ile hedefte Administrator olarak bilet alınır. MachineAccountQuota>0 gerekir.

Microsoft SCCM/MECM ortamlarında Network Access Account (NAA) credential'ları policy üzerinden çekilir, PXE boot media decrypt edilir, MP/SMS Provider'a NTLM relay ile site takeover yapılır ve CMPivot ile yönetilen makinelerde komut çalıştırılır. sccmhunter keşif ve istismarı otomatikleştirir.

Domain/forest trust ilişkileri numaralandırılarak SID History injection'lı golden ticket ile child->parent Enterprise Admins yükselişi, cross-forest erişim, golden gMSA hesaplama ve MSSQL linked server zinciri ile lateral hareket gerçekleştirilir.