Enumeración de NTDS - Parte 1

Si queremos enumerar las politicas que esten establecidas en el equipo WS01 el cual no tiene privilegios de administrador, podremos hacerlo, ya que cargamos el PowerView y seria de la sigueinte forma:

Get-DomainPolicy

Info:

Unicode        : @{Unicode=yes}
SystemAccess   : @{MinimumPasswordAge=1; MaximumPasswordAge=42; MinimumPasswordLength=7; PasswordComplexity=1;
                 PasswordHistorySize=24; LockoutBadCount=0; RequireLogonToChangePassword=0;
                 ForceLogoffWhenHourExpire=0; ClearTextPassword=0; LSAAnonymousNameLookup=0}
KerberosPolicy : @{MaxTicketAge=10; MaxRenewAge=7; MaxServiceAge=600; MaxClockSkew=5; TicketValidateClient=1}
RegistryValues : @{MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=System.Object[]}
Version        : @{signature="$CHICAGO$"; Revision=1}
Path           : \\corp.local\sysvol\corp.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windo
                 ws NT\SecEdit\GptTmpl.inf
GPOName        : {31B2F340-016D-11D2-945F-00C04FB984F9}
GPODisplayName : Default Domain Policy

Podremos filtrar para obtener el SystemAccess de la siguiente forma:

(Get-DomainPolicy)."SystemAccess"

Info:

MinimumPasswordAge           : 1
MaximumPasswordAge           : 42
MinimumPasswordLength        : 7
PasswordComplexity           : 1
PasswordHistorySize          : 24
LockoutBadCount              : 0
RequireLogonToChangePassword : 0
ForceLogoffWhenHourExpire    : 0
ClearTextPassword            : 0
LSAAnonymousNameLookup       : 0

Información del DC

Si queremos saber la informacion del DC tanto su IP como demas cosas y no lo queremos hacer con PowerView, lo podremos hacer de forma manual en el equipo WS02 en el que cargamos el .dll anteriormente, si se ha reiniciado la maquina o algo por el estilo habra que volver a cargarlo:

Info:

Y con PowerView se podria hacer de la siguiente forma:

Info:

Al utilizar PowerView genera trafico de red en el cual puede ser detectado por herramientas de seguridad, pero son alertas que nadie va a investigar ya que la alerta suele ser de Bad Trafic y es por que PowerView a veces los paquetes de red van de forma erronea y se genera trafico malo, pero nadie lo va a investigar asi que se puede utilizar las veces que se quiera, pero es para tenerlo en cuenta.

Enumerar usuarios del dominio

Con un usuario normal sin privilegios podremos ser capaces de sacar todos los usuarios del dominio que existen en dicho dominio, primero empezaremos por el modulo de AD:

Desde empleado2 en la consola haremos lo siguiente:

Info:

Estamos viendo que nos aparece practicamente casi toda la informacion de cada usuario hasta el SamAccountName que es importante el id del nombre de como se tiene que logear en el dominio, etc...

Pero si lo queremos filtrar mas, para que no aparezca tanta info, podremos hacerlo de la siguiente forma:

Info:

Ahora si queremos hacerlo con PowerView podremos hacerlo asi:

Info:

Y podemos filtrar esta informacion de la misma forma:

Info:

Enumerar información de los equipos del dominio

Con el modulo de AD podremos sacar los grupos que tenemos en el dominio de la siguiente forma:

Info:

Si lo queremos filtrar por informacion mas relevante:

Info:

Podremos hacer esto mismo pero con PowerView de la siguiente forma:

Info:

Aqui por lo que vemos, estamos viendo mucha mas informacion, como por ejemplo la version del sistema operativo que tiene cada uno, el sistema operativo de que tipo es, etc.. Informacion que puede venir muy bien de cara al atacante.

Para filtrar un poco haremos esto:

Info:

Para poder identificar si un equipo esta activo o no, PowerView te proporciona una opcion la cual puede ver si esta activo o no con el -Ping de la siguiente forma:

Info:

PreviousAD ModuleNextEnumeración de NTDS - Parte 2

Last updated