Neu Das Whitepaper zur kontinuierlichen Sicherheitsvalidierung 2026 ist verfügbar. Whitepaper lesen →
Featured · 1 Offensive Tradecraft

Active Directory Pentest.

Active Directory von A bis Z: Enumeration, Kerberos, ACL-Missbrauch, GPO-Waffenbau, Jagd auf Tier 0 — inklusive Playbook für interne Engagements vom Foothold bis zur Domain Dominance.

Enumeration (jeder authentifizierte User)

  • BloodHound-Collection. SharpHound -c All,GPOLocalGroup von einem domain-joined Host; oder bloodhound-python -c All -u user -p pass -d domain.local -ns DC_IP von Linux. In großen Umgebungen immer mit --ldapfilter scopen.
  • User- und Computer-Enum. ldapsearch -x -h DC -b "dc=domain,dc=local" "(objectClass=user)". Description-Felder mit Passwörtern suchen — noch immer der häufigste AD-Befund.
  • SPN-Inventur. setspn -Q */* oder GetUserSPNs.py. Service-Accounts hier sind Kerberoast-Kandidaten.
  • GPO-Inspektion. Get-GPO -All, \\domain\SYSVOL\domain\Policies\ nach cpassword in Groups.xml durchsuchen (GPP-Creds, entschlüsselbar).

Kerberos-Missbrauch

  1. Kerberoasting. Rubeus.exe kerberoast /outfile:hashes.txt oder GetUserSPNs.py -request. Mit hashcat-Modus 13100 cracken, rockyou + best64.rule. Service-Accounts mit Passwörtern < 14 Zeichen fallen typischerweise.
  2. ASREP-Roasting. Rubeus.exe asreproast oder GetNPUsers.py -no-pass -usersfile users.txt für Accounts mit DONT_REQUIRE_PREAUTH. Hashcat-Modus 18200.
  3. Unconstrained-Delegation-Missbrauch. Computer-Accounts mit TRUSTED_FOR_DELEGATION → DC-Auth via PetitPotam oder Printer-Bug coerce → erbeutetes TGT.
  4. Constrained Delegation (S4U2Self/Proxy). Computer/User mit msDS-AllowedToDelegateTo → TGS als beliebiger User für den konfigurierten SPN anfordern → Rubeus.exe s4u /user:WEB$ /rc4:HASH /impersonateuser:Administrator /msdsspn:cifs/dc01.
  5. Resource-Based Constrained Delegation. Schreibzugriff auf msDS-AllowedToActOnBehalfOfOtherIdentity am Ziel-Computer → angreifer-kontrolliertes Machine-Account hinzufügen → beliebigen User zu diesem Ziel impersonieren.

ACL-Missbrauch — gefährliche Rechte

  • GenericAll auf User. Passwort zurücksetzen oder SPN setzen → kerberoasten.
  • WriteDACL auf Objekt. Self GenericAll gewähren → alles oben.
  • WriteOwner. Ownership übernehmen → WriteDACL → GenericAll.
  • ForceChangePassword auf User. Set-DomainUserPassword (PowerView). Laut, aber schnell.
  • AddMember auf Gruppe. Speziell Domain Admins, Enterprise Admins, Schema Admins und jede Tier-0-Gruppe.
  • GenericWrite auf Computer. RBCD am Ziel setzen → beliebigen User via S4U impersonieren.

Verteidigung

  • gMSAs für Service-Accounts. 240-Byte rotierte Passwörter schlagen Kerberoasting kategorisch.
  • PRE_AUTH auf jedem Account erforderlich. Regelmäßig (&(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=4194304)) auditieren.
  • Tier-0-Isolation. Domain Admins loggen sich nur von PAWs ein. Kein Tier-0-Secret je auf einem Tier-1-Host gecacht.
  • LDAP-Signing + Channel-Binding. Schlägt Relay-Angriffe gegen DCs.
  • SMB-Signing erforderlich. Schlägt NTLM-Relay über die File-Server-Flotte.
  • Spooler-Service auf jedem DC deaktivieren. Entfernt das Printer-Bug-Delegation-Primitiv.
FaustregelDer Weg zu DA ist in BloodHound fast immer kürzer als erwartet. An Tag eins jedes Internal-Engagements laufen lassen, vor jedem anderen Tooling. Der Graph sagt dir, welche 3–4 der nächsten 50 Dinge zu probieren sind.

Verwandte Notizen in dieser Domain

Von der Referenz zum Befund

Validieren Sie das in Ihrer eigenen Umgebung.