Active Directory – narzędzia penetracyjne

    Daniel Nowak·
    BezpieczeństwoKali linux

    Active Directory (AD) jest fundamentem tożsamości i kontroli dostępu w środowiskach Windows. Z perspektywy atakującego kompromitacja AD niemal zawsze oznacza pełne przejęcie organizacji – dostęp do kont uprzywilejowanych, systemów krytycznych, poczty oraz danych wrażliwych. Z tego powodu AD jest jednym z głównych celów testów penetracyjnych, red teamingu oraz symulacji APT.

    Celem tego artykułu jest przedstawienie najważniejszych narzędzi ofensywnych do Active Directory, ich roli w łańcuchu ataku (Kill Chain) oraz praktycznego zastosowania podczas rzeczywistych testów bezpieczeństwa.

     

     Zapisy na kurs Proxmox i Wirtualizacji Serwerów

    Naucz się praktycznego instalowania, konfigurowania i administrowania środowiskiem wirtualizacji Proxmox (tworzenia VM, sieci, klastrów, backupów oraz automatyzacji i zabezpieczeń) dzięki 12-tygodniowemu kursowi z ponad 150 lekcjami, materiałami, skryptami i wsparciem trenera, który prowadzi Cię „od zera do bohatera” w realnych wdrożeniach IT.


    Promocja trwa do 17 lutego, godz. 23:59

    Sprawdź szczegóły: https://asdevops.pl/1

     

     

    ⚠️ Uwaga – kwestie bezpieczeństwa i odpowiedzialności

    Testy penetracyjne, zarówno środowisk Active Directory, jak i innych systemów IT (sieci, aplikacji webowych, chmury czy infrastruktury OT), niosą ze sobą realne ryzyko operacyjne i prawne. Nieumiejętne użycie narzędzi ofensywnych może doprowadzić do przerw w działaniu usług, utraty danych, naruszenia integralności systemów, a w skrajnych przypadkach – do odpowiedzialności karnej.

    Wszystkie testy penetracyjne powinny być wykonywane wyłącznie na systemach, na które posiadasz jednoznaczną, pisemną zgodę właściciela, w jasno określonym zakresie (scope) i czasie. Narzędzia wykorzystywane w pentestach często działają agresywnie – generują nietypowy ruch, wykorzystują luki konfiguracyjne i mogą być wykrywane jako atak przez systemy EDR/XDR, IDS/IPS czy SOC.

    Pamiętaj również, że techniki prezentowane w artykule służą edukacji i podnoszeniu poziomu bezpieczeństwa, a nie nadużyciom. Odpowiedzialny pentesting to nie tylko znajomość narzędzi, ale także świadomość konsekwencji, procedur awaryjnych oraz zasad etyki zawodowej. Zawsze testuj w sposób kontrolowany, dokumentuj działania i skupiaj się na poprawie bezpieczeństwa, a nie na samym „łamaniu” systemów.

    Etapy ataku na Active Directory

    Zanim przejdziemy do narzędzi, warto zrozumieć typowy przebieg ataku:

    1. Initial Access – dostęp do sieci lub jednego hosta
    2. Recon & Enumeration – zbieranie informacji o domenie
    3. Credential Access – pozyskanie haseł, hashy lub biletów
    4. Privilege Escalation – eskalacja do kont uprzywilejowanych
    5. Lateral Movement – poruszanie się po domenie
    6. Domain Dominance – pełna kontrola nad AD
    7. Persistence – utrzymanie dostępu

    Każdy z tych etapów wykorzystuje inne klasy narzędzi.

    1. BloodHound – analiza relacji i ścieżek ataku

    BloodHound to jedno z kluczowych narzędzi do analizy bezpieczeństwa Active Directory. Wykorzystuje teorię grafów do wizualizacji relacji pomiędzy użytkownikami, grupami, komputerami i uprawnieniami. Narzędzie mapuje środowisko domenowe jako graf, gdzie węzłami są obiekty AD, a krawędziami – relacje i uprawnienia.

    Zastosowanie:
    • Identyfikacja ścieżek eskalacji uprawnień
    • Wykrywanie błędnych delegacji (ACL, GPO, AdminSDHolder)
    • Analiza relacji typu „Shortest Path to Domain Admin”
    Zalety:
    • Bardzo czytelna wizualizacja
    • Szybka identyfikacja realnych wektorów ataku
    • Powszechnie używane także przez obrońców (blue team)
    Dlaczego jest tak skuteczny:

    BloodHound nie pokazuje „co jest źle”, tylko jak realnie można przejąć domenę – krok po kroku.

    Instalacja (Kali Linux) oraz demo

    Aktualizujemy system

    sudo apt update && sudo apt upgrade -y

    Instalujemy dockera

    sudo apt install docker.io

    Ściągamy docker-compose

    sudo curl -L „https://github.com/docker/compose/releases/download/v2.32.1/docker-compose-$(uname -s)-$(uname -m)” -o /usr/local/bin/docker-compose

    Zmieniamy uprawnienia docker-compose, niezbędne do jego uruchomienia

    sudo chmod +x /usr/local/bin/docker-compose

    Tworzymy folder Bloodhound i do niego przechodzimy

    mkdir Bloodhound

cd Bloodhound

    Ściągamy plik docker-compose.yml, niezbędny do zainstalowania Bloodhound Community Edytion

    curl -L https://ghst.ly/getbhce > docker-compose.yml

    Uruchamiamy program docker-compose, ściągamy niezbędne pakiety i instalujemy Bloodhound Community Edytion i cierpliwie czekamy na ukończenie instalacji 🙂

    sudo docker-compose pull && sudo docker-compose up

    Przewijamy terminal do góry aż znajdziemy hasło do logowania, kopiujemy hasło

    Następnie uruchamiamy Firefoxa i przechodzimy do adresu ip

    http://localhost:8080/ui/

    Logujemy się wpisując w Email Address admin i wcześniej skopiowane hasło, podane podczas instalacji

    Na samej górze wklejamy ponownie hasło, podane podczas instalacji a niżej wpisujemy 2 razy nowe hasło (nowe hasło musi posiadać co najmniej 12 znaków, duże, małe litery, jeden numer i jeden znak szczególny np. „!”. Klikamy Reset Password

    Kliknij w sample dataset, by zaimportować przykładową bazę danych

    Zostaniesz przekierowany na nową stronę. Kliknij Active Directory, pobierze się plik z przykładową bazą danych

    Przejdź do Bloodhound i naciśnij ten przycisk

    Wyszukaj i wybierz pobrany plik

    Następnie naciśnij przycisk Upload, by załadować bazę danych

    W SEARCH wbisz bob, by wyszukać użytkownika w Active Directory i kliknij na jego ikonkę

    Przejdź do PATHFINDING, wyszukaj użytkownika ADMINISTRATOR i go kliknij

    Bloodhound znalazł najkrótszą ścieżkę by dostać się do konta Administratora w sieci Active Directory

    Jest to prosty przykład, jednakże w sprawnych rękach Pentestera lub hackera to potężne narzędzie służące do graficznego mapowania całej sieci Active Directory.

    2. AD-BloodHound

    AD-BloodHound to narzędzie do analizy bezpieczeństwa Active Directory, używane głównie w testach penetracyjnych i red teamingu do identyfikowania ścieżek eskalacji uprawnień w domenie Windows.

    Działa w dwóch krokach:

    1. Zbieranie danych (np. konta, grupy, ACL, sesje, delegacje Kerberos) za pomocą collectora SharpHound.
    2. Analiza i wizualizacja tych danych w formie grafu, który pokazuje, jak atakujący może przejść od zwykłego użytkownika do Domain Admina – często wykorzystując błędne uprawnienia lub złą konfigurację AD.

    Najważniejsze cechy:

    • pokazuje realne ścieżki ataku, a nie pojedyncze podatności
    • wykrywa błędy w ACL, delegacjach, GPO, AD CS
    • mapuje techniki z MITRE ATT&CK
    • używany zarówno przez pentesterów, jak i blue team do hardeningu AD

    Instalacja oraz demo

    Pobieramy skrypt z strony, klikając na strzałkę

    https://github.com/TeneBrae93/offensivesecurity/blob/main/active-directory/ad-bloodhound.sh

    Następnie uruchom terminal klikając prawym myszy w folderze gdzie został pobrany plik ad-bloodhound.sh

    Zmieniamy uprawnienia do pliku na wykonywalny

    chmod +x ad-bloodhound.sh

    Uruchamiamy program

    Podajemy nazwę domeny serwera (Domain:), nazwę użytkownika (Username:), hasło (Password:) oraz adres IP domeny serwera (IP of Domain:)

    Po zatwierdzeniu danych, skrypt wychwytuje domene komputery w Active Directory wraz z użytkownikami grupami i politykami GPO

    Jak sprawdzimy poleceniem ls, mamy gotowe pliki .json które możemy przesłać do BloodHound Community Edition i przeglądać całe środowisko Active Directory

    W skrócie: BloodHound odpowiada na pytanie „jak naprawdę można przejąć domenę”, bazując na faktycznych relacjach w Active Directory, a nie na teorii.

    3. Mimikatz – ekstrakcja poświadczeń

    Mimikatz to klasyczne, ale wciąż niezwykle skuteczne narzędzie do pracy z pamięcią systemu Windows.

    Zastosowanie:
    • Dump haseł i hashy z LSASS
    • Pass-the-Hash / Pass-the-Ticket
    • Golden Ticket i Silver Ticket
    • Analiza Kerberos (TGT, TGS)
    Ryzyko:
    • Bardzo dobrze wykrywany przez EDR/XDR
    • Wymaga wysokich uprawnień

    Mimikatz jest świetnym przykładem narzędzia, które pokazuje, jak krytyczne znaczenie ma ochrona LSASS oraz Credential Guard.

    3. CrackMapExec (NetExec) – szwajcarski scyzoryk AD

    CrackMapExec (CME), obecnie rozwijany jako NetExec, to framework do automatyzacji ataków na środowiska domenowe.

    Zastosowanie:
    • Testowanie poświadczeń w całej domenie
    • Enumeracja SMB, LDAP, WinRM, MSSQL
    • Lateral movement
    • Zbieranie informacji o politykach bezpieczeństwa
    Dlaczego warto:
    • Bardzo szybki recon
    • Integracja z BloodHound
    • Idealne narzędzie do „living off the land”

    Demo

    Uruchamiamy program crackmapexec podajemy protokół smb adres IP serwera podajemy plik z użytkownikami oraz wpisujemy pozyskane hasło

    CME jest często pierwszym narzędziem używanym po zdobyciu poświadczeń.

    4. Impacket – biblioteka ataków sieciowych

    Impacket to zestaw narzędzi opartych o Pythona, umożliwiających interakcję z protokołami Windows.

    Najpopularniejsze skrypty:
    • secretsdump.py – dump haseł z NTDS.dit
    • psexec.py, wmiexec.py, smbexec.py – zdalne wykonanie poleceń
    • GetUserSPNs.py – Kerberoasting
    Zastosowanie:
    • Ataki bez instalowania agenta na systemie
    • Praca wyłącznie po sieci
    • Idealne do ataków stealth

    5. Rubeus – ofensywny Kerberos

    Rubeus specjalizuje się w atakach na mechanizmy uwierzytelniania Kerberos.

    Zastosowanie:
    • Kerberoasting
    • AS-REP Roasting
    • Overpass-the-Hash
    • Delegation abuse (Unconstrained / Constrained)
    Przewaga:
    • Bardzo precyzyjne operacje Kerberos
    • Wysoka kontrola nad biletami

    Demo

    Ściągamy program Rubeus.exe

    https://github.com/r3motecontrol/Ghostpack-CompiledBinaries/blob/master/Rubeus.exe

    Uruchamiamy cmd jako administrator. W wyszukiwarce wpisz cmd, kliknij prawym myszy na Command Prompt a następnie Run as administrator

    W linii komend przechodzimy do folderu gdzie znajduje się Rubeus.exe. Uruchamiamy program z poleceniem klist

    cd Downloads
dir
.\Rubeus.exe klist

    Po wykonaniu polecenia uzyskujemy szereg wrażliwych informacji np. o użytkownikach, domenie

    6. PowerView i PowerSploit – ofensywny PowerShell

    PowerView (część PowerSploit) to narzędzie do dogłębnej enumeracji AD z poziomu PowerShella.

    Zastosowanie:
    • Enumeracja użytkowników, grup, GPO
    • Analiza ACL i delegacji
    • Recon bez użycia zewnętrznych binarek
    Plus:
    • Idealne do ataków fileless
    • Często trudniejsze do wykrycia niż klasyczne binaria

    7. PingCastle – narzędzie dla obrońców (i testerów)

    PingCastle to narzędzie audytowe, często używane przez administratorów, ale bardzo przydatne także w pentestach.

    Zastosowanie:
    • Szybka ocena dojrzałości bezpieczeństwa AD
    • Wskazanie najczęstszych błędów konfiguracyjnych
    • Raportowanie ryzyka (np. NTLMv1, brak SMB signing)

    8. Responder + NTLM Relay

    Responder umożliwia przechwytywanie hashy NTLM w sieci lokalnej.

    Zastosowanie:
    • LLMNR / NBT-NS poisoning
    • NTLM Relay
    • Ataki bez łamania haseł
    Kluczowy problem:
    • Nadal bardzo skuteczny w źle skonfigurowanych sieciach

    Bezpieczeństwo Active Directory nie polega na jednym narzędziu ochronnym, lecz na zrozumieniu sposobu działania atakującego. Narzędzia penetracyjne pozwalają zobaczyć domenę oczami przeciwnika i wykryć problemy, które w innym przypadku pozostałyby niewidoczne.

    Znajomość ofensywnych technik AD jest dziś niezbędna zarówno dla pentesterów, jak i zespołów SOC, blue team oraz administratorów systemów Windows.

     Zapisy na kurs Proxmox i Wirtualizacji Serwerów

    Naucz się praktycznego instalowania, konfigurowania i administrowania środowiskiem wirtualizacji Proxmox (tworzenia VM, sieci, klastrów, backupów oraz automatyzacji i zabezpieczeń) dzięki 12-tygodniowemu kursowi z ponad 150 lekcjami, materiałami, skryptami i wsparciem trenera, który prowadzi Cię „od zera do bohatera” w realnych wdrożeniach IT.


    Promocja trwa do 17 lutego, godz. 23:59

    Sprawdź szczegóły: https://asdevops.pl/1
     

     

     

    Ruszamy z zapisami na kurs Proxmox i Wirtualizacja Serwerów

    Dołącz!
    X