Scribd
Importer
45 vues22 pages

Attack ADDS

Ce document présente un test de pénétration sur Active Directory, mettant en évidence les vulnérabilités des protocoles LLMNR et NBT-NS qui peuvent être exploitées pour intercepter des identifiants NTLM. L'étude démontre comment ces failles peuvent être exploitées à l'aide d'outils comme Responder et Wireshark, et propose des contre-mesures pour renforcer la sécurité. Des recommandations incluent la désactivation des protocoles vulnérables, le renforcement des mots de passe et la mise en place d'une supervision réseau.

Transféré par

Joseph Atanga
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
45 vues22 pages

Attack ADDS

Ce document présente un test de pénétration sur Active Directory, mettant en évidence les vulnérabilités des protocoles LLMNR et NBT-NS qui peuvent être exploitées pour intercepter des identifiants NTLM. L'étude démontre comment ces failles peuvent être exploitées à l'aide d'outils comme Responder et Wireshark, et propose des contre-mesures pour renforcer la sécurité. Des recommandations incluent la désactivation des protocoles vulnérables, le renforcement des mots de passe et la mise en place d'une supervision réseau.

Transféré par

Joseph Atanga
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Université Polytechnique de Bingerville

THEME
PENTEST SUR ACTIVE DIRECTORY –
EXPLOITATION DE LLMNR ET NETBIOS

Présenté Par :
▪ YEO DOYERI ANGE WILFRIED

Année Universitaire 2024 – 2025


INTRODUCTION

La sécurité des infrastructures informatiques est essentielle, et la protection des systèmes


d'authentification comme Active Directory (AD) est cruciale. AD est utilisé pour gérer l'accès aux
ressources réseau dans un environnement Windows, mais une mauvaise configuration peut exposer
des failles de sécurité exploitables.

Ce test de pénétration évalue les vulnérabilités des protocoles LLMNR et NBT-NS, souvent
activés par défaut. Ces protocoles peuvent être exploités pour intercepter des requêtes de
résolution de noms et capturer des identifiants, tels que les hashs NTLM, permettant ainsi un
accès non autorisé.

L'objectif est de démontrer l'exploitation de ces vulnérabilités et de proposer des solutions pour
renforcer la sécurité d'Active Directory.
ENVIRONNEMENT DE TEST
Pour mener ce test de pénétration, un laboratoire virtuel a été configuré avec les éléments suivants :

• Windows Server 2012 : utilisé comme contrôleur de domaine Active Directory, gérant les utilisateurs,
groupes et ressources réseau.
• Windows 7 : machine cliente interagissant avec le contrôleur de domaine, simulant un utilisateur final.
• Kali Linux : machine attaquante équipée d’outils de test de pénétration (ex : Responder) pour exploiter les
vulnérabilités LLMNR et NBT-NS.

Schéma du Lab.

Le schéma réseau simule un environnement d'entreprise classique, où Kali Linux est positionné dans le même
réseau pour intercepter et exploiter les requêtes réseau.
EXPLOITATION DES VULNÉRABILITÉS
1. Comprendre LLMNR et NBT-NS

LLMNR (Link-Local Multicast Name Resolution) et NBT-NS (NetBIOS over TCP/IP) sont des protocoles
utilisés pour la résolution de noms dans un réseau local lorsque le serveur DNS n'est pas disponible.

Bien qu'utiles, ces protocoles présentent des vulnérabilités exploitables, permettant aux attaquants de capturer
des hashs NTLM via des attaques Man-in-the-Middle (MITM).

Nous allons exploiter ces failles avec Responder sur Kali Linux et analyser le trafic avec Wireshark.

2. Étapes de l'attaque

Étape 1 : Vérification de la connectivité entre les machines

Test de communication entre la machine AD DS et le Windows client.


Test de communication entre la machine cliente et l’AD DS.

Vérification de l’accès de Kali Linux à la machine cliente.


Étape 2 : Création d’un utilisateur dans Active Directory

Ajout d’un utilisateur Doc Gouho dans le groupe Administrateurs


Étape 3 : Ajout de l’utilisateur sur la machine cliente

Connexion de Doc Gouho à la machine Windows 7.


Étape 4 : Lancement de Responder et capture du trafic

Exécution de Responder pour capturer les requêtes LLMNR/NBT-NS.

Capture et analyse du trafic réseau avec WIRESHARK


Nous entrons un nom inconnu pour observer la réaction du système

Ici l’utilisateur va se connecter pensant qu’il va se connecter au serveur qu’il a entré


Récupération des identifiants NTLM interceptés
Étape 5 : Récupération et cracking des identifiants

Extraction des hashs NTLM depuis les logs de Responder.

Nous allons voir ce qui c’est passer dans le fichier SMB


Avec la commande more on verra ce qui se trouve dans le fichier SMB

On voit dans le fichier qu’il y’a des Hash NTLM et c’est cet Hash que nous allons récupérer pour cracker le
mot de passe à l’aide d’un dictionnaire
Stockage du hash dans un fichier [Link]

Ici nous avons notre dictionnaire [Link] pour pouvoir cracker notre mot de passe
Voici la commande qui sera utilisé pour cracker le mot de passe
Ici, nous voyons le statut qui est écrit cracker et plus haut dans le terminal, nous voyons le mot de passe en
clair. bingo….
CONTRE-MESURES ET BONNES PRATIQUES
Nous allons mettre en place des mesures de sécurité pour pouvoir être protégé contre ces attaques
Toutes ces images ont servi à désactiver LLMNR

On va maintenant désactiver le NBT-NS


Nous avons désactivé le NETBIOS sur Tcp/ip

Voici quelques règles de plus à appliquer pour pouvoir être protéger contre ces attaques

• Appliquer des stratégies de mots de passe robustes : Exiger des mots de passe longs et
complexes pour limiter les risques de brute force sur les hashs capturés.
• Activer la signature SMB : Empêcher l'exploitation des attaques relayant les identifiants NTLM.
• Mettre en place une supervision réseau : Surveiller les requêtes LLMNR/NBT-NS restantes et
identifier les tentatives d'attaque en utilisant des outils comme Wireshark ou un SIEM.
Vérification après mise en place des contremesures
On remarque qu’il n’y a plus de trafique ce qui veut dire qu’on est protégé de cette attaque
CONCLUSION
Ce test de pénétration a mis en évidence les vulnérabilités liées à l’activation des protocoles LLMNR
et NBT-NS dans un environnement Active Directory. Ces protocoles, bien qu’utiles, peuvent exposer
des informations sensibles lorsqu’ils sont mal configurés.

L’attaque Man-in-the-Middle permet à un attaquant de capturer et récupérer des hashs NTLM,


facilitant ainsi un accès non autorisé aux systèmes.

L’application des bonnes pratiques comme la désactivation des protocoles, le renforcement des mots
de passe, l’activation de la signature SMB et la mise en place d’une supervision réseau permettent
de réduire considérablement ces risques.

Recommandations

• Automatiser la désactivation des protocoles via GPO.


• Mettre en place un système de détection d’intrusion.
• Sensibiliser les équipes IT sur ces vulnérabilités.

En appliquant ces recommandations, les risques d’exploitation peuvent être significativement réduits,
garantissant ainsi un environnement plus sécurisé pour les utilisateurs et les ressources réseau.

Vous aimerez peut-être aussi