2.

Active Directory LDAP

Aperçu d'Active Directory

Active Directory (AD ) est un service d'annuaire pour les environnements réseau Windows. C'est un
structure hiérarchique distribuée qui permet une gestion centralisée d'une organisation
ressources, y compris les utilisateurs, les ordinateurs, les groupes, les dispositifs réseau et les partages de fichiers, groupe

politiques, serveurs et stations de travail, et liens de confiance. AD fournit authentification et autorisation

fonctions au sein d'un environnement de domaine Windows. Il a été d'abord expédié avec Windows Server
2000 ; il a été de plus en plus attaqué ces dernières années. Conçu pour être rétrocompatible -
compatible, et de nombreuses fonctionnalités ne sont sans doute pas "sécurisées par défaut", et cela peut être facilement

mal configuré.

Cela peut être utilisé pour se déplacer latéralement et verticalement au sein d'un réseau et gagner
accès non autorisé. AD est essentiellement une grande base de données accessible à tous les utilisateurs au sein de
domaine, indépendamment de leur niveau de privilège. Un compte utilisateur AD de base sans privilèges ajoutés
peut être utilisé pour énumérer la majorité des objets contenus dans AD, y compris mais pas
limité à :

Ordinateurs de domaine
Utilisateurs de domaine

Informations sur le groupe de domaine

Stratégie de Domaine par Défaut

Niveaux fonctionnels de domaine

Politique de mot de passe

Objets de stratégie de groupe (GPO)

Délégation Kerberos
Confiances de domaine

Listes de contrôle d'accès (LCA)

Ces données fourniront une image claire de la posture de sécurité globale d'un Active Directory.
environnement. Il peut être utilisé pour identifier rapidement les mauvaises configurations, les politiques trop permissives,

et d'autres moyens d'élever les privilèges dans un environnement AD. De nombreuses attaques existent qui
se contenter d'exploiter les mauvaises configurations de l'AD, les mauvaises pratiques ou la mauvaise administration, telles que :

Kerberoasting / ASREPRoasting
Relais NTLM
Poisonnement du trafic réseau
Épissage de mots de passe
 Abus de délégation Kerberos
Abus de confiance de domaine

Vol d'identifiants
Contrôle des objets

Renforcer Active Directory, ainsi qu'une gestion des correctifs et des configurations robuste
la politique et une segmentation appropriée du réseau doivent être prioritaires. Si un environnement est strictement
géré et un adversaire peut obtenir un pied-à-terre et contourner EDR ou d'autres protections, approprié
la gestion de l'AD peut les empêcher d'escalader les privilèges, de se déplacer latéralement et d'obtenir
aux joyaux de la couronne. Des contrôles appropriés aideront à ralentir un attaquant et pourraient potentiellement forcer

les rendre plus bruyants et risquer d'être détectés.

Structure Active Directory

Active Directory est organisé dans une structure d'arbre hiérarchique, avec une forêt en haut contenant
un ou plusieurs domaines, qui peuvent eux-mêmes contenir des sous-domaines imbriqués. Une forêt est le
limite de sécurité dans laquelle tous les objets sont sous contrôle administratif. Une forêt peut
contient plusieurs domaines, et un domaine peut contenir d'autres sous-domaines ou sous-domaines. Un domaine
est une structure dans laquelle les objets contenus (utilisateurs, ordinateurs et groupes) sont accessibles.
Les objets sont l'unité de données la plus élémentaire dans AD.

Il contient de nombreux outils intégrés ( UO

Unités Organisationnelles s), comme "Contrôleurs de domaine,"
« Utilisateurs », et « Ordinateurs », et nouveau OU peuvent être créés au besoin. OU peut contenir
objets et sous-UO, permettant l'attribution de différentes stratégies de groupe.

Nous pouvons voir cette structure graphiquement en ouvrant

Utilisateurs et Active Directory
sur un contrôleur de domaine. Dans notre domaine de laboratoire
Ordinateurs INLANEFREIGHT.LOCAL , nous voyons
diverses UOs telles que Administrateur
, , , , etc. Beaucoup de ceux-ci
Les UOs ont des UOs imbriqués en leur sein, telles que le OU sous Employés . Ceci
Salle du courrier

aide à maintenir une structure claire et cohérente au sein d'Active Directory, ce qui est particulièrement
important alors que nous ajoutons des Objets de Stratégie de Groupe (GPO) pour appliquer des paramètres dans l'ensemble

domaine.

Comprendre la structure d'Active Directory est primordial pour effectuer une énumération correcte.
et découvrir les défauts et les erreurs de configuration qui ont parfois été négligés dans un
environnement pendant de nombreuses années.

Exercices de module
Tout au long de ce module, vous vous connecterez à divers hôtes cibles via le Bureau à distance.
Protocole (RDP) pour compléter les exercices. Les identifiants nécessaires seront fournis avec
chaque exercice, et la connexion RDP peut être effectuée via xfreerdp du Pwnbox en tant que
suit

xfreerdp /v:<adresse IP cible>/u:htb-student /p:<mot de passe>/cert-ignore

Tous les outils nécessaires peuvent être trouvés dans le c:\outilsrépertoire après s'être connecté à la cible
hôte.

Pourquoi énumérer AD ?
En tant que testeurs de pénétration,
énumération est l'une des compétences les plus importantes, sinon la plus importante, que nous devons
maître. Lors du démarrage d'une évaluation dans un nouveau réseau, il est important d'obtenir un inventaire complet.

de l'environnement est extrêmement important. Les informations recueillies pendant cette phase vont
informer nos attaques ultérieures et même la post-exploitation. Étant donné la prévalence de l'AD dans le corporate
réseaux, nous nous retrouverons probablement régulièrement dans des environnements AD, et donc, il est
il est important de perfectionner notre processus d'énumération. Il existe de nombreux outils et techniques pour aider

avec l'énumération AD, que nous couvrirons en profondeur dans ce module et les modules suivants;
Cependant, avant d'utiliser ces outils, il est important de comprendre la raison de les utiliser.
énumération AD détaillée.

Que nous effectuions un test de pénétration ou une évaluation ciblée de l'AD, nous pouvons toujours aller au-delà

et au-delà et fournir à nos clients une valeur ajoutée en leur donnant une image détaillée de leur
Forces et faiblesses de l'AD. Les environnements d'entreprise traversent de nombreux changements au cours de
années, ajoutant et supprimant des employés et des hôtes, installant des logiciels et des applications qui
exigent des modifications dans l'AD, ou des politiques d'entreprise qui nécessitent des modifications de GPO. Ces changements peuvent

introduire des failles de sécurité par une mauvaise configuration, et c'est notre travail en tant qu'évaluateurs de les trouver

des défauts, les exploiter et aider nos clients à les corriger.

Commencer
Une fois que nous avons un pied dans un environnement AD, nous devrions commencer par rassembler plusieurs éléments clés.

informations, y compris mais sans s'y limiter :

Le niveau fonctionnel du domaine

La politique de mot de passe du domaine

Un inventaire complet des utilisateurs AD

Un inventaire complet des ordinateurs AD

Un inventaire complet des groupes AD et des adhésions
Relations de confiance entre domaines

ACLs d'objet
Informations sur les objets de stratégie de groupe (GPO)

Droits d'accès à distance

Avec ces informations en main, nous pouvons chercher des 'gains rapides' tels que notre utilisateur actuel ou
l'ensembleUtilisateurs groupe ayant un accès RDP et/ou administrateur local à un ou
de domaine

plus d'hôtes. C'est courant dans les grands environnements pour de nombreuses raisons, l'une étant le
utilisation incorrecte des hôtes de saut et un autre étant le serveur Citrix Services de Bureau à Distance (RDS)
mésconfigurations. Nous devrions également vérifier quels droits notre utilisateur actuel a dans le domaine. Sont-ils

sont-ils membres de groupes privilégiés ? Ont-ils des droits spéciaux délégués ? Ont-ils
ont-ils un contrôle sur un autre objet de domaine tel qu'un utilisateur, un ordinateur ou un GPO ?
Le processus d'énumération est itératif. À mesure que nous avançons dans l'environnement AD,
compromettant des hôtes et des utilisateurs, nous devrons effectuer une énumération supplémentaire pour voir si nous
avoir obtenu un accès supplémentaire pour nous aider à atteindre notre objectif.

Droits et privilèges dans l'AD

AD contient de nombreux groupes qui accordent à leurs membres des droits et privilèges puissants. Beaucoup de
cela peut être abusé pour escalader les privilèges au sein d'un domaine et finalement obtenir le domaine
Privilèges d'administrateur ou de SYSTÈME sur un contrôleur de domaine (DC). Certains de ces groupes sont énumérés

ci-dessous.

Groupe Description
Par défaut Groupes "super" Domain Admins et Enterprise Admins.
Administrateurs
Serveur Les membres peuvent modifier les services, accéder aux partages SMB et sauvegarder des fichiers.

Opérateurs
Sauvegarde Les membres sont autorisés à se connecter aux DCs localement et doivent être
Opérateurs considéré comme Administrateurs de Domaine. Ils peuvent créer des copies instantanées de

Base de données SAM/NTDS, lire le registre à distance et accéder au fichier

système sur le DC via SMB. Ce groupe est parfois ajouté au
groupe des opérateurs de sauvegarde local sur les non-DC.

Opérateurs d'impression Les membres sont autorisés à se connecter localement aux DC et à "tromper" Windows pour
charger un pilote malveillant.
Hyper-V S'il y a des DCs virtuels, tout administrateur de virtualisation, comme les membres
Administrateurs Les administrateurs Hyper-V doivent être considérés comme des administrateurs de domaine.

Compte Les membres peuvent modifier des comptes et des groupes non protégés dans le
Opérateurs domaine.
À distance Les membres ne reçoivent par défaut aucune autorisation utile mais sont
Utilisateurs de bureau souvent accordé des droits supplémentaires tels que Autoriser la connexion à distance
Les services de bureau peuvent se déplacer latéralement en utilisant le protocole RDP.

Télécommande Les membres sont autorisés à se connecter aux contrôleurs de domaine avec PSRemoting (Ce groupe est

Gestion parfois ajouté au groupe de gestion à distance local sur non-

Utilisateurs DCs).
Stratégie de groupe Les membres peuvent créer de nouveaux GPO, mais devront être délégués.
Propriétaires Créateurs permissions supplémentaires pour lier des GPO à un conteneur tel qu'un domaine
ou OU.
Administrateurs de schéma Les membres peuvent modifier la structure du schéma Active Directory et peuvent
ouvrir une porte dérobée dans tout Groupe/GPO à créer en ajoutant un compromis
compte au ACL d'objet par défaut.
Groupe Description
Administrateurs DNS Les membres ont la capacité de charger un DLL sur un DC mais n'ont pas le
autorisations nécessaires pour redémarrer le serveur DNS. Ils peuvent charger un
DLL malveillante et attendre un redémarrage comme mécanisme de persistance.
Le chargement d'un DLL entraîne souvent le crash du service. Une solution plus fiable
façon d'exploiter ce groupe est decréer un enregistrement WPAD.

Membres de "Schema Admins"

PSC:\htb>Obtenir-ADGroupe-Identité "Administrateurs de schéma" -Propriétés*

compteAdministrateur 1
NomCanonical INLANEFREIGHT.LOCAL/Utilisateurs/Administrateurs de Schéma

CN Administrateurs de schéma
Créé 26/07/2020 16:14:37
créerHorodatage 26/07/2020 16:14:37
Supprimé :
Description Administrateurs désignés du schéma
Nom d'affichage :
Nom Distingué CN=Schéma
Admins,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL
dSCorePropagationData 29/07/2020 23:52:30
11:09:16 PM, 7/27/2020 9:45:00 PM, 7/27/2020
21:34:13
GroupeCatégorie Sécurité
PortéeDuGroupe Universel
typeDeGroupe :-2147483640
Page d'accueil :
typeD'instance 4
estObjetSystèmeCritique Vrai
estSupprimé :
DernierParentConnu :
Géré par :
membre Jenna Smith
Équipe,OU=IT,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL

CN=Administrateur,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL
MembreDe CN=Mot de passe de réplication RODC refusé
Groupe,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL}
Membres {CN=Jenna Smith,OU=Serveur
Équipe,OU=TI,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL

CN=Administrateur,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL
Modifié 30/07/2020 14:04:05
modifierHorodatage 30/07/2020 14:04:05
Nom Administrateurs de schéma
nTSecurityDescriptor :
 Système.DossiersActifsSécurité
CatégorieObjet :
CN=Groupe,CN=Schéma,CN=Configuration,DC=INLANEFREIGHT,DC=LOCAL
Classe d'objet :groupe
ObjectGUID 36eef5cb-92b1-47d2-a25d-b9d73783ed1e
objectSid S-1-5-21-2974783224-3764228556-
2640795941-518
Faux
NomDeCompteSam Administrateurs de schéma
sAMAccountType 268435456
droitEffectif 15
SID S-1-5-21-2974783224-3764228556-
2640795941-518
HistoriqueSID : {}
uSNChanged 66825
uSNCréé 12336
lorsqu'il a changé 30/07/2020 14:04:05
lors de la création 26/07/2020 16:14:37

Attribution des droits d'utilisateur

En fonction de l'appartenance au groupe et d'autres facteurs tels que les privilèges attribués via le Groupe

Selon la politique, les utilisateurs peuvent avoir divers droits assignés à leur compte. Cet article de Microsoft surUtilisateur
Cession de droitsfournit une explication détaillée de chacun des droits des utilisateurs qui peuvent être définis
dans Windows.

Taper la commande whoami /priv vous donnera une liste de tous les droits d'utilisateur qui vous sont attribués
utilisateur actuel. Certains droits ne sont disponibles que pour les utilisateurs administratifs et ne peuvent être que

énuméré/levé lors de l'exécution d'un cmd ou d'une session PowerShell élevée. Ces concepts de
droits élevés etContrôle de compte d'utilisateur (UAC)des fonctionnalités de sécurité introduites avec
Windows Vista par défaut restreindra les applications de s'exécuter avec des autorisations complètes, sauf si
absolument nécessaire. Si nous comparons et contrastons les droits disponibles pour nous en tant qu'administrateur dans un

console non élevée vs. console élevée, nous verrons qu'elles diffèrent drastiquement. Essayons
cela comme le étudiant htbutilisateur sur la machine de laboratoire.

Ci-dessous se trouvent les droits disponibles pour un utilisateur Administrateur de Domaine.

Droits des utilisateurs non élevés

Nous pouvons voir ce qui suit dans une console non élevée :

PSC:\htb> whoami/priv

INFORMATION SUR LES PRIVILÈGES

 ----------------------

Nom du privilège Description État

============================= ====================================
========
SeShutdownPrivilege Éteignez le système
Désactivé
SeChangeNotifyPrivilege Contourner la vérification de traversée
Activé
Privilège de désancrage Retirez l'ordinateur de la station d'accueil

Désactivé
SeIncreaseWorkingSetPrivilege Augmenter l'ensemble de travail d'un processus

Désactivé
SeTimeZonePrivilege Changer le fuseau horaire
Désactivé

Droits des utilisateurs élevés

Si nous exécutons une commande élevée (notre utilisateur htb-student a des droits d'administrateur local via imbriqué

adhésion au groupe ; le groupe des utilisateurs du domaine est dans le groupe des administrateurs locaux), nous pouvons

voir la liste complète des droits qui nous sont disponibles :

PSC:\htb> qui suis-je/priv

INFORMATIONS SUR LES PRIVILÈGES

----------------------

Nom du privilège Description

État
=========================================
==================================================================
========
SeAugmenterQuotaPrivilège Ajuster les quotas de mémoire pour un

processus Désactivé
SeMachineAccountPrivilege Ajouter des stations de travail au domaine

Désactivé
SeSecurityPrivilege Gérer l'audit et le journal de sécurité
Désactivé
SeTakeOwnershipPrivilege Prenez possession de fichiers ou d'autres

objets Désactivé
SeLoadDriverPrivilege Charger et décharger les pilotes de périphériques

Désactivé
SeSystemProfilePrivilege Profilage des performances du système

Désactivé
Droit de modifier l'heure système Changer l'heure du système
Désactivé
SeProfileSingleProcessPrivilege Profil monoprocessus
Désactivé
 SeAugmenterPrioritéBasePrivilège Augmenter la priorité de planification

Désactivé
SeCreatePagefilePrivilege Créer un fichier d'échange
Désactivé
SeBackupPrivilege Sauvegarder des fichiers et des répertoires

Désactivé
SeRestorePrivilege Restaurer des fichiers et des répertoires

Désactivé
SeShutdownPrivilege Éteignez le système
Désactivé
SeDebugPrivilege Déboguer des programmes
Activé
SeSystemEnvironmentPrivilege Modifier l'environnement du firmware

valeurs Désactivé
SeChangeNotifyPrivilege Contourner la vérification de traversée

Activé
SeRemoteShutdownPrivilege Arrêt forcé à distance
système Désactivé
SeUndockPrivilege Retirer l'ordinateur du dock
station Désactivé
SeActiverDroitsDelegation Activer l'ordinateur et l'utilisateur

comptes à faire confiance pour la délégation Désactivé

SeManageVolumePrivilege Effectuer des tâches de maintenance des volumes

Désactivé
SeImpersonatePrivilege Imiter un client après
authentification Activé
SeCreateGlobalPrivilege Créer des objets globaux
Activé
SeIncreaseWorkingSetPrivilege Augmenter l'ensemble de travail du processus

Désactivé
PrivilègeSeTempsZone Changer le fuseau horaire
Désactivé
SeCreateSymbolicLinkPrivilege Créer des liens symboliques
Désactivé
SeDelegateSessionUserImpersonatePrivilege Obtenir un jeton d'imitation
pour un autre utilisateur dans la même session Désactivé

Un utilisateur standard de domaine, en revanche, a beaucoup moins de droits.

Droits des utilisateurs de domaine

PSC:\htb> qui suis-je/priv

INFORMATION SUR LES PREROGATIVES

----------------------

Nom du privilège Description État

============================= ============================== ========
 SeChangeNotifyPrivilege Contourner la vérification de traversée
Activé
SeAugmenterLeJeuDeTravailDroit

Les droits des utilisateurs augmentent en fonction des groupes dans lesquels ils sont placés et/ou de leurs privilèges assignés.

Ci-dessous un exemple des droits accordés aux utilisateurs dansOpérateurs

le groupe.
de sauvegarde Utilisateurs
dans ce groupe, vous avez d'autres droits qui sont actuellement restreints par UAC. Cependant, nous pouvons voir à partir de

ce commandement qu'ils ont le , ceDroit d'arrêt

qui signifie qu'ils peuvent arrêter
Un contrôleur de domaine hors service pourrait causer une interruption massive du service s'il se déconnecte.
sur un contrôleur de domaine localement (pas via RDP ou WinRM).

Droits d'opérateur de sauvegarde

PSC:\htb> qui suis-je/priv

INFORMATIONS SUR LES PRIVILÈGES

----------------------

Nom du privilège Description État

============================= ============================== ========
SeShutdownPrivilege Éteignez le système Désactivé
SeChangeNotifyPrivilege Contourner la vérification de traversée
Activé
Augmenter le privilège de l'ensemble de travail

En tant qu'attaquants et défenseurs, nous devons examiner l'adhésion à ces groupes. Ce n'est pas
il est rare de trouver des utilisateurs apparemment peu privilégiés ajoutés à un ou plusieurs de ces groupes,
qui peut être utilisé pour accéder davantage ou compromettre le domaine.

Remarque : Lorsque vous faites apparaître votre cible, nous vous demandons d'attendre 3 minutes jusqu'à ce que tout le laboratoire avec

toutes les configurations sont mises en place afin que la connexion à votre cible fonctionne parfaitement.

Outils d'administration à distance de serveur Microsoft

RSAT

Contexte RSAT
Le ( RSAT)
Outils d'administration à distance des serveurs font partie de Windows depuis le
les jours de Windows 2000. RSAT permet aux administrateurs systèmes de gérer à distance Windows
Rôles et fonctionnalités du serveur d'un poste de travail fonctionnant sous Windows 10, Windows 8.1, Windows 7

ou Windows Vista. RSAT ne peut être installé que sur les éditions Professionnelle ou Entreprise de
Windows. Dans un environnement d'entreprise, les RSAT peuvent gérer à distance Active Directory, DNS,
et DHCP.RSAT nous permet également de gérer les rôles et fonctionnalités de serveur installés, Fichier

Services et Hyper-V. La liste complète des outils inclus avec RSAT est :

Outils du serveur SMTP

Outils de gestion Hyper-V

Module Hyper-V pour Windows PowerShell
Outils de gestion GUI Hyper-V
Services de mise à jour Windows ServerOutils

API et cmdlets PowerShell

Console de gestion de l'interface utilisateur

Composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Élément de snap-in Sites et Services Active Directory

Interface de gestion des domaines et des relations de confiance Active Directory

Snap-in du Centre d'administration Active Directory

Extensions ADSI
Éditeur de schéma Active Directory (Non enregistré)
Outils de ligne de commande Active Directory

Module Active Directory pour Windows PowerShell

Outils de gestion IIS
Console de gestion IIS
Compatibilité de la gestion IIS
FeatureTools
Services de bureau à distanceOutils
Outils de rôle

Mettre à jour ServicesOutils

Outils de stratégie de groupe

Ceciscénariopeut être utilisé pour installer RSAT dans Windows 10 1809, 1903 et 1909. Installation
instructions pour d'autres versions de Windows, ainsi que des informations supplémentaires sur RSAT, peuvent
être trouvéici. RSAT peut également être installé facilement avec PowerShell.

Nous pouvons vérifier quels outils RSAT, le cas échéant, sont installés en utilisant PowerShell.

PowerShell - Outils RSAT disponibles

PSC:\htb>Obtenir-CapacitéWindows-Nom RSAT*-En ligne |Sélectionner-Objet-

Nom de la Propriété

Nom État
---- -----
Rsat.ActiveDirectory.DS-LDS.Outils~~~~0.0.1.0 NonPrésent
Rsat.BitLocker.Récupération.Outils~~~~0.0.1.0 NonPrésent
Rsat.CertificateServices.Tools~~~~0.0.1.0 NonPrésent
 Rsat.DHCP.Tools~~~~0.0.1.0 NonPrésent
Rsat.Dns.Tools~~~~0.0.1.0 NonPrésent
Rsat.FailoverCluster.Management.Tools~~~~0.0.1.0 NonPrésent
Rsat.FileServices.Tools~~~~0.0.1.0 Non présent
Rsat.GroupeStratégie.Gestion.Outils~~~~0.0.1.0 NonPrésent
Rsat.IPAM.Client.Tools~~~~0.0.1.0 NonPrésent
Rsat.LLDP.Tools~~~~0.0.1.0 Non présent
Rsat.NetworkController.Tools~~~~0.0.1.0 NonPrésent
Rsat.NetworkLoadBalancing.Tools~~~~0.0.1.0 NonPrésent
Rsat.RemoteAccess.Management.Tools~~~~0.0.1.0 NonPrésent
Rsat.RemoteDesktop.Services.Tools~~~~0.0.1.0 Non présent
Rsat.ServerManager.Tools~~~~0.0.1.0 NonPrésent
Rsat.Shielded.VM.Tools~~~~0.0.1.0 NonPrésent
Rsat.StorageMigrationService.Management.Tools~~~~0.0.1.0 Non Présent
Rsat.StorageReplica.Tools~~~~0.0.1.0 NonPrésent
Rsat.SystemInsights.Management.Tools~~~~0.0.1.0 NonPrésent
Rsat.VolumeActivation.Outils~~~~0.0.1.0 NonPrésent
Rsat.WSUS.Tools~~~~0.0.1.0 Non Présent

À partir d'ici, nous pouvons choisir d'installer tous les outils disponibles en utilisant la commande suivante :

PowerShell - Installer tous les outils RSAT disponibles

PSC:\htb>Obtenir- CapacitéWindows-Nom RSAT*-En ligne |Ajouter-

CapacitéWindows–En ligne

Nous pouvons également installer les outils un à un au fur et à mesure des besoins.

PowerShell - Installer un outil RSAT

PSC:\htb>Add-WindowsCapability-Name Rsat.ActiveDirectory.DS-
LDS.Tools~~~~0.0.1.0 –En ligne

Une fois installé, tous les outils seront disponibles sous dans le
Outils d'administration
.
Panneau de configuration
Contexte de domaine pour l'énumération
De nombreux outils manquent de paramètres d'identification et de contexte et obtiennent à la place ces valeurs.
directement à partir du contexte actuel. Il existe quelques façons de modifier le contexte d'un utilisateur dans Windows si
vous avez accès à un mot de passe ou à un hachage, tel que :

En utilisantrunas /netonly exploiter les fonctionnalités intégréesrunas.exeoutil en ligne de commande.

CMD - Exécuter en tant qu'utilisateur

C:\htb> runas /netonly /user:htb.local\jackie.may powershell

D'autres outils que nous aborderons dans les modules ultérieurs, tels queRubeusetmimikatzpeut être
des identifiants en texte clair ou un hachage de mot de passe NTLM.

CMD - Rubeus.exe Informations d'identification en clair

C:\htb> rubeus.exe asktgt /user:jackie.may /domain:htb.local

/dc:10.10.110.100 /rc4:ad11e823e1638def97afa7cb08156a94

CMD - Mimikatz.exe Identifiants en clair

C:\htb> mimikatz.exe sekurlsa::pth /domaine:htb.local /utilisateur:jackie.may

/rc4:ad11e823e1638def97afa7cb08156a94
Énumération avec RSAT
Si nous compromettons un système joint à un domaine (ou qu'un client vous demande de réaliser une évaluation AD
depuis l'une de leurs stations de travail), nous pouvons tirer parti de RSAT pour énumérer AD. Alors que RSAT va
Créer des outils GUI tels que Utilisateurs et ordinateurs Active Directory
et Éditeur ADSI
à notre disposition, l'outil le plus important que nous avons vu tout au long de ce module est le
PowerShellModule Active Directory.

Alternativement, nous pouvons énumérer le domaine depuis un hôte non joint au domaine (à condition que cela soit
est dans un sous-réseau qui communique avec un contrôleur de domaine) en lançant n'importe quel complément RSAT
utiliser " runas depuis la ligne de commande. C'est particulièrement utile si nous nous retrouvons
réaliser une évaluation interne, obtenir des identifiants AD valides, et souhaiterait effectuer
énumération depuis une VM Windows.

Nous pouvons aussi ouvrir le Console MMC d'un ordinateur qui n'est pas joint à un domaine en utilisant le suivant
syntaxe de commande :

CMD - Exécuter MMC en tant qu'utilisateur de domaine

C:\htb> runas /netonly /user:Nom_Domaine\Utilisateur_Domaine mmc

Nous pouvons ajouter n'importe quel des modules RSAT et énumérer le domaine cible dans le contexte de la
utilisateur cible dans le domaine. Aprèsfreightlogistics.local
sally.jones avoir ajouté le snap-
ins, nous obtiendrons un message d'erreur indiquant que le "domaine spécifié n'existe pas ou n'a pas pu
être contacté." À partir de là, nous devons faire un clic droit sur le Utilisateurs Active Directory et

snap-in (ou tout autre snap-in choisi) et choisissez

Ordinateurs .
Changer de domaine

Tapez le domaine cible dans le boîte

Changer de domaine de dialogue, ici
À partir de là, nous pouvons maintenant énumérer librement le domaine en utilisant n'importe quel
logistiquefrancais.local
des modules RSAT AD.

Bien que ces outils graphiques soient utiles et faciles à utiliser, ils sont très inefficaces lorsqu'il s'agit de tenter
pour énumérer un grand domaine. Dans les prochaines sections, nous allons introduire
LDAP et divers
types de filtres de recherche que nous pouvons utiliser pour énumérer AD en utilisant PowerShell. Les sujets que

les sections que nous couvrons nous aideront à mieux comprendre comment fonctionne AD et
comment rechercher des informations de manière efficace, ce qui nous informera finalement mieux sur l'utilisation de
plus d'outils et de scripts "automatisés" que nous aborderons dans les deux prochaines
Énumération AD
modules.

Le pouvoir de NT AUTHORITY\SYSTEM

LeCompte LocalSystem NT AUTHORITY\SYSTÈMEest un compte intégré dans Windows

systèmes, utilisés par le gestionnaire de contrôle de service. Il a le plus haut niveau d'accès dans le système d'exploitation

(et peut être rendu encore plus puissant avec les privilèges de Trusted Installer). Ce compte a
plus de privilèges qu'un compte administrateur local et est utilisé pour exécuter la plupart des Windows
services. Il est également très courant que des services tiers fonctionnent dans le contexte de ce compte
par défaut. Le compte SYSTEM a les éléments suivantsprivileges:

Privilège État par défaut

SE_ASSIGNPRIMARYTOKEN_NOM handicapé
NOM_AUDIT_SE activé
 Privilège État par défaut
SE_NOM_DU_SAUVEGARDE handicapé
SE_CHANGEMENT_NOTIF_NAME activé
SE_CRÉER_NOM_GLOBAL activé
SE_CREER_FICHIER_PAGE_NOM activé
SE_CREER_UN_NOM_PERMANENT activé
SE_CREATE_TOKEN_NAME handicapé
SE_DEBUG_NAME activé
SE_IMPERSONATE_NAME activé
SE_INC_BASE_PRIORITY_NAME activé
SE_AUGMENTER_NOM_QUOTA handicapé
SE_CHARGER_NOM_DU_DRIVER handicapé
SE_LOCK_MEMORY_NAME activé
SE_GÉRER_NOM_VOLUME handicapé
SE_PROF_SINGLE_PROCESS_NAME activé
SE_RESTAURER_NOM handicapé
NOM_DE_SECURITE_SE handicapé
SE_SHUTDOWN_NAME handicapé
SE_SYSTEM_ENVIRONMENT_NAME désactivé
SE_SYSTEMTIME_NAME désactivé
PRENDRE_POSSESSION_NOM handicapé
SE_TCB_NOM activé
SE_DELOGER_NOM handicapé

Le compte SYSTEM sur un hôte joint à un domaine peut énumérer Active Directory par
usurpation du compte de l'ordinateur, qui est essentiellement un compte utilisateur spécial. Si vous tombez
sur un hôte joint au domaine avec des privilèges SYSTEM lors d'une évaluation et ne peut en trouver aucun
des identifiants utiles en mémoire ou d'autres données sur la machine, il y a encore beaucoup de choses que vous
pouvoir faire. Avoir un accès au niveau du SYSTÈME dans un environnement de domaine est presque équivalent à
avoir un compte utilisateur de domaine. La seule véritable limitation est de ne pas pouvoir effectuer des opérations inter-
faites confiance aux attaques Kerberos telles que Kerberoasting.

Il existe plusieurs façons d'obtenir un accès au niveau SYSTEM sur un hôte, y compris, mais sans s'y limiter :

Exploits Windows à distance tels qu'EternalBlue ou BlueKeep.

Abus d'un service s'exécutant dans le contexte du compte SYSTEM.
Abus des privilèges SeImpersonate en utilisantPommeDeTerrePourrieNGcontre les anciennes versions de Windows
systèmesPomme de terre juteuse, ouPrintSpoofersi ciblageWindows 10/Windows Server 2019.
 Des failles d'escalade de privilèges locaux dans les systèmes d'exploitation Windows tels que leWindows 10
Task Planificateur 0day.
PsExec avec le -s drapeau

En obtenant un accès au niveau SYSTÈME sur un hôte joint au domaine, nous serons en mesure de :

Énumérez le domaine et récoltez des données telles que des informations sur les utilisateurs du domaine et

groupes, accès administrateur local, relations de domaine, ACL, propriétés des utilisateurs et des ordinateurs
etc., en utilisant Chien , et
de sang PowerView / SharpView .
Réaliser des attaques Kerberoasting / ASREPRoasting.
Exécuter des outils tels queInvectiverpour collecter des hachages Net-NTLM-v2 ou effectuer des attaques par relais.

Effectuer une usurpation de jeton pour détourner un compte utilisateur de domaine privilégié.

Réaliser des attaques ACL.

Aperçu de LDAP

Protocole d'accès léger aux annuaires (LDAP ) est une partie intégrante d'Active Directory
(AD). La dernière spécification LDAP est la version 3, qui est publiée sousRFC 4511Une entreprise
la compréhension du fonctionnement de LDAP dans un environnement AD est cruciale tant pour les attaquants que pour

défenseurs.

LDAP est un protocole open-source et multiplateforme utilisé pour l'authentification contre divers
services d'annuaire (tels que AD). Comme discuté dans la section précédente, AD stocke les utilisateurs
informations de compte et informations de sécurité telles que des mots de passe et facilite le partage de cela
informations avec d'autres appareils sur le réseau.LDAP est le langage que les applications utilisent pour
communiquer avec d'autres serveurs qui fournissent également des services d'annuaire. En d'autres termes,
LDAP est
une manière dont les systèmes dans l'environnement réseau peuvent "parler" à AD.

à un serveur, également connu sous le nom de LDAP

Un LDAP la session commence par d'abord se connecterAnnuaire
Agent SystèmeLe Contrôleur de Domaine dans AD écoute activement pourdemandes, telles que
LDAP
demandes d'authentification de sécurité.
La relation entre AD et LDAP peut être comparé à Apache et HTTP. Le même
Apache est un serveur web qui utilise le protocole HTTP, Active Directory est un annuaire.
serveur qui utilise le LDAP protocole.

Bien que peu courant, vous pourriez rencontrer des organisations lors de la réalisation d'une évaluation qui
n'a pas d'AD mais a un LDAP, ce qui signifie qu'ils utilisent très probablement un autre type de
LDAP serveur tel queOpenLDAP.

Authentification AD LDAP
LDAP est configuré pour authentifier les identifiants contre AD en utilisant une opération "BIND" pour définir le
état d'authentification pour unLDAP session. Il y a deux types de LDAP authentification.

1.Authentification simple : Cela inclut l'authentification anonyme, non authentifiée

l'authentification et l'authentification par nom d'utilisateur/mot de passe. L'authentification simple signifie

qu'un nom d'utilisateur et un mot de passe créent une demande BIND pour s'authentifier au LDAP
serveur.
2.Authentication SASL : LeCouche d'authentification et de sécurité simple (SASL)
le cadre utilise d'autres services d'authentification, tels que Kerberos, pour se lier au LDAP
serveur et utilise ensuite ce service d'authentification (Kerberos dans cet exemple) pour
s'authentifier à LDAP . Le LDAP le serveur utilise le LDAP protocole pour envoyer un
LDAP
message au service d'autorisation qui initie une série de défi/réponse
messages résultant d'une authentification réussie ou échouée. SASL peut
fournir une sécurité supplémentaire en raison de la séparation des méthodes d'authentification de

protocoles d'application.
Les messages d'authentification LDAP sont envoyés en clair par défaut, donc n'importe qui peut les intercepter.
messages sur le réseau interne. Il est recommandé d'utiliser le chiffrement TLS ou similaire pour
sauvegarder ces informations en transit.

Requêtes LDAP
Nous pouvons communiquer avec le service d'annuaire en utilisantLDAP questions à poser au service pour
information. Par exemple, la requête suivante peut être utilisée pour trouver tous les postes de travail dans un

réseau (objectCategory=ordinateur) bien que cette requête puisse être utilisée pour trouver tous les domaines

contrôleurs (&(objectCategory=Ordinateur)
(userAccountControl:1.2.840.113556.1.4.803:=8192)) .

Les requêtes LDAP peuvent être utilisées pour effectuer des recherches liées aux utilisateurs, telles que
(&"
qui recherche tous les utilisateurs, ainsi que
(catégorieObjet=personne)(classeObjet=utilisateur))
grouper les recherches connexes telles que qui
(classedObjet=groupe) renvoie tous les groupes. Voici
un exemple d'une requête simple pour trouver tous les groupes AD utilisant le Obtenir-ObjetAD
" cmdlet et
le paramètre LDAPFilter ".

Requête LDAP - Recherche liée aux utilisateurs

PSC:\htb>Obtenir-ObjetAD-FiltreLDAP'(objectClass=groupe)'|sélectionner nom

nom
--
Administrateurs
Utilisateurs
Invités
Opérateurs d'impression

Opérateurs de sauvegarde

Réplicateur
Utilisateurs de Bureau à Distance

Opérateurs de configuration de réseau

Utilisateurs du Moniteur de Performance

Utilisateurs du journal de performance

Utilisateurs COM distribués

IIS_IUSRS
Opérateurs cryptographiques
Lecteurs de journaux d'événements
Service de certificat DCOM Accès
Serveurs d'accès à distance RDS
Serveurs de point de terminaison RDS

Serveurs de gestion RDS

Administrateurs Hyper-V
Opérateurs d'assistance au contrôle d'accès
Utilisateurs de gestion à distance
Nous pouvons également utiliser des requêtes LDAP pour effectuer des recherches plus détaillées. Cette requête recherche le

domaine pour tous les comptes administrativement désactivés.

Requête LDAP - Recherche détaillée

PSC:\htb>Get-ADObject-LDAPFilter'(&(objectCategory=person)
(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))'-
Propriétés*|sélectionner samaccountname, useraccountcontrol

samaccountname
controlesurlecompteutilisateur
-------------- ---
---------------
Invité COMPTE_DÉSACTIVÉ
NEPAS_EXPIRER_MOT_DE_PASSE
CompteParDéfaut COMPTE_DÉSACTIVÉ
NEPAS_EXPIRER_MOT_DE_PASSE
krbtgt COMPTE_DSABLE
NE PAS EXPIRER LE MOT DE PASSE
caroline.ali COMPTE_DESACTIVE, MOT_DE_PASSE_NON_REQUIS

COMPTE_NORMAL
$SH2000-FPNHUU487JP0 COMPTE_DÉSACTIVÉ, MOT_DE_PASSE_NON_REQUISE

COMPTE_NORMAL
SM_00390f38b41e488ab COMPTEDÉSACTIVÉ
COMPTE_NORMAL
SM_e081bc60d79c4597b COMPTEDÉSACTIVÉ
COMPTE_NORMAL
SM_a9a4eed7ad2d4369a COMPTEDÉSACTIVÉ
COMPTE_NORMAL
SM_d836f82078bf4cf89 COMPTEDÉSACTIVÉ
COMPTE_NORMAL
SM_6a24f488535649558 COMPTEDÉSACTIVE
COMPTE_NORMAL
SM_08a2324990674a87b COMPTEDÉSACTIVÉ
COMPTE_NORMAL
SM_d1fea2710dc146b1b COMPTEDISABLE
COMPTE_NORMAL
SM_b56189681baa441db COMPTEDISABLE
COMPTE_NORMAL
SM_b72a918d27554863b COMPTEDÉSACTIVÉ
COMPTE_NORMAL
Plus d'exemples de base et plus avancés LDAP les requêtes pour AD peuvent être trouvées à
liens suivants :

Requêtes LDAP liées à ADordinateurs

Requêtes LDAP liées à ADutilisateurs
Requêtes LDAP liées à l'ADgroupes

LDAP Les requêtes sont des outils extrêmement puissants pour interroger Active Directory. Nous pouvons les exploiter.
leur capacité à rassembler une grande variété d'informations, à cartographier l'environnement AD et à chasser pour
des erreurs de configuration. Les requêtes LDAP peuvent être combinées avec des filtres pour effectuer des opérations encore plus granulaires.

recherches. Les deux sections suivantes couvriront en profondeur les filtres de recherche AD et LDAP pour
préparez-nous à introduire une variété d'outils d'énumération AD dans les modules suivants.

Remarque : Lorsque vous créez votre cible, nous vous demandons d'attendre 3 minutes jusqu'à ce que tout le laboratoire soit

toutes les configurations sont mises en place pour que la connexion à votre cible fonctionne parfaitement.

Filtres de recherche Active Directory

Les deux sections suivantes aborderontFiltrer

le et FiltreLDAP paramètres utilisés par le
cmdlets du module PowerShell ActiveDirectoryIl est important de savoir comment construire un filtre approprié.
syntaxe pour interroger Active Directory en utilisant PowerShell Cette connaissance nous donne une compréhension plus profonde
compréhension de la façon dont nos outils tels quePowerView fonction sous le capot et comment nous
peuvent encore exploiter leur puissance lors de l'énumération de l'Active Directory. Il est également utile de
comprendre comment formuler des filtres si vous vous trouvez dans une situation lors d'une évaluation
sans aucun de vos outils à votre disposition. Armé de cette connaissance, vous serez capable de
vivre efficacement de la terre et utiliser les cmdlets PowerShell intégrés pour effectuer votre
tâches d'énumération (bien que plus lentes que l'utilisation de nombreux outils que nous aborderons dans ce module).

Filtres PowerShell
Les filtres dans PowerShell vous permettent de traiter les sorties de pipeline plus efficacement et de récupérer exactement
les informations dont vous avez besoin d'une commande. Des filtres peuvent être utilisés pour affiner des données spécifiques

dans un grand résultat ou récupérer des données qui peuvent ensuite être envoyées à une autre commande.

Nous pouvons utiliser des filtres avec leFiltre paramètre. Un exemple de base consiste à interroger un ordinateur pour

logiciel installé

PowerShell - Filtrer les logiciels installés

PSC:\htb>get-ciminstancewin32_product |fl
 {7FED75A1-600C-394B-8376-712E2A8861F2}
Nom Microsoft Visual C++2017 x86 Runtime supplémentaire
14.12.25810
Vendeur Microsoft Corporation
Version 14.12.25810
Légende Microsoft Visual C++2017 x86 Runtime supplémentaire
14.12.25810

{748D3A12-9B82-4B08-A0FF-CFDE83612E87}
Nom VMware Tools
Fournisseur VMware, Inc.
Version 10.3.2.9925305
Légende VMware Tools

{EA8CB806-C109-4700-96B4-F1F268E5036C}
Nom Solution de mot de passe de l'administrateur local
Vendeur Microsoft Corporation
Version 6.2.0.0
Légende Solution de mot de passe de l'administrateur local

{2CD849A7-86A1-34A6-B8F9-D72F5B21A9AE}
Nom Microsoft Visual C++2017 x64 Runtime supplémentaire -
14.12.25810
Vendeur Microsoft Corporation
Version 14.12.25810
Légende Microsoft Visual C++ 2017 x64 Runtime supplémentaire
14.12.25810

<SNIP>

La commande ci-dessus peut fournir une sortie considérable. Nous pouvons utiliser le Filtrerparamètre
opérateur pour filtrer tous les logiciels Microsoft (ce qui peut être utile lorsque
avec le pas comme
énumérer un système pour les vecteurs d'escalade de privilèges locaux.

PowerShell - Filtrer les logiciels Microsoft

PSC:\htb>get-ciminstancewin32_product-Filter"PAS Fournisseur comme

%Microsoft%"|fl

{748D3A12-9B82-4B08-A0FF-CFDE83612E87}
Nom VMware Tools
Fournisseur VMware, Inc.
Version 10.3.2.9925305
Légende VMware Tools
Opérateurs
Le FiltrerL'opérateur nécessite au moins un opérateur, ce qui peut aider à affiner la recherche
résultats ou réduire une grande quantité de sortie de commande à quelque chose de plus digestible. Filtrage
Il est important de le faire correctement, surtout lorsqu'il s'agit d'énumérer de grands environnements et de chercher très

informations spécifiques dans la sortie de la commande. Les opérateurs suivants peuvent être utilisés avec le
Filtrerparamètre

Filtrer Signification
-eq Égal à
-le Inférieur ou égal à
-ge Supérieur ou égal à
-ne Pas égal à
-lt Moins que
-gt Supérieur à
approximatif Environ égal à
-bor OU binaire
-bande ET binaire
-correspondanceRécursive Correspondance récursive

-comme Comme
-pas comme Pas comme
-et ET booléen
-ou OU booléen
-pas NON booléen

Exemples de filtre : Propriétés des objets AD

Le filtre peut être utilisé avec des opérateurs pour comparer, exclure, rechercher, etc., une variété de AD
propriétés des objets. Les filtres peuvent être entourés d'accolades, de guillemets simples, de parenthèses ou
guillemets. Par exemple, le filtre de recherche simple suivant utilisant Obtenir-ADUtilisateur
trouver
informations sur l'utilisateur Sally Jones peut être écrit comme suit :

PowerShell - Exemples de Filtrage

Get-ADUser-Filter "nom -eq 'sally jones'"

Get-ADUser-Filtre{nom-eq'sally jones'}
 Get-ADUser-Filter 'name -eq "sally jones"'

Comme vu ci-dessus, la valeur de la propriété (ici, sally jones ) peut être enveloppé dans une simple ou une double-
être utilisé comme uncaractère génériquelors de l'exécution de requêtes. Le
citations. L'astérisque (*) peut *

commandeGet-ADUser -filtre {nom -comme "joe*"} l'utilisation d'un caractère générique renverrait tout

utilisateurs de domaine dont le nom commence parjoe (joe, joel, etc.). Lorsque vous utilisez des filtres, certains

les caractères doivent être échappés :

Caractère échappé Remarque

Comme
“ `” Seulement nécessaire si les données sont entourées de guillemets.

‘ \’ Nécessaire uniquement si les données sont enfermées dans des guillemets simples.

NUL Séquence d'échappement LDAP standard.

\ \5c Séquence d'échappement LDAP standard.

* a Échappé automatiquement, mais uniquement dans les comparaisons -eq et -ne.

Utilisez les opérateurs -like et -notlike pour la comparaison avec des jokers.

( /28 Échappé automatiquement.

) /29 Échappé automatiquement.
/ /2f Échappé automatiquement.

Essayons certains de ces filtres pour énumérer le INLANEFREIGHT.LOCAL domaine. Nous pouvons
recherchez tous les ordinateurs du domaine pour des noms d'hôtes intéressants. Les serveurs SQL sont particulièrement intéressants.

cible sur les évaluations internes. La commande ci-dessous cherche tous les hôtes dans le domaine en utilisant

, filtrage sur le
Obtenir-ADOrdinateur NomDNSHôte propriété qui contient le mot SQL .

PowerShell - Filtrer pour SQL

PSC:\htb>Get-ADComputer-Filter"DNSHostName -like 'SQL*'"

CN=SQL01,OU=SQL
Serveurs,OU=Serveurs,DC=INLANEFREIGHT,DC=LOCAL
Nom d'hôte DNS SQL01.DÉMÉNAGEMENTLOCAL
Activé Vrai
Nom : SQL01
Classe d'objet ordinateur
ObjectGUID 42cc9264-1655-4bfa-b5f9-21101afb33d0
SQL01$
SID S-1-5-21-2974783224-3764228556-2640795941-1104
 UserPrincipalName

Ensuite, recherchons des groupes administratifs. Nous pouvons le faire en filtrant suradminCount
le
attribut. Le groupe avec cet attribut réglé sur 1 sont protégés parAdminSDHolderet connu
comme des groupes protégés.
AdminSDHolder est détenu par le groupe des Administrateurs de domaine. Il a le
privilèges pour modifier les autorisations des objets dans Active Directory. Comme discuté ci-dessus, nous
Vous pouvez filtrer la sortie de la commande et sélectionner uniquement les noms des groupes.

PowerShell - Filtrer les Groupes Administratifs

PSC:\htb>Obtenir-ADGroupe-Filtre "adminCount -eq 1" | sélectionner Nom

Nom
----
Administrateurs
Opérateurs d'impression

Opérateurs de sauvegarde

Réplicateur
Contrôleurs de domaine
Admins de schéma
Administrateurs d'entreprise

Administrateurs de domaine

Opérateurs de serveur
Opérateurs de compte
Contrôleurs de domaine en lecture seule

Opérations de sécurité

Nous pouvons également combiner des filtres. Recherchons tous les utilisateurs administratifs avec le
ensemble d'attributs, ce qui signifie qu'ils peuvent être ASREPRoastés (ceci
NécessitePasPréAutorisation
l'attaque sera couverte en profondeur dans les modules suivants). Ici, nous sélectionnons tous les utilisateurs de domaine et

spécifiant deux conditions avec le opérateur.

-eq

PowerShell - Filtrer les utilisateurs administratifs

PSC:\htb>Get-ADUser-Filtre{adminCount-eq'1'-et
Ne nécessite pas de préauthentification - eq 'Vrai'

CN=Jenna Smith,OU=Serveur
Équipe,OU=TI,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL
Prénom jenna
Nom Jenna Smith
Classe d'objet utilisateur
ObjectGUID : ea3c930f-aa8e-4fdc-987c-4a9ee1a75409
jenna.smith
SID S-1-5-21-2974783224-3764228556-2640795941-1999
 Nom de famille smith
jenna.smith@inlanefreight

Enfin, voyons un exemple de combinaison de filtres et de transfert de sortie plusieurs fois pour trouver notre
informations souhaitées. La commande suivante peut être utilisée pour trouver tous les utilisateurs administratifs avec

le jeu d'attributs, ce qui signifie qu'ils peuvent probablement être soumis à un

nom du principal de service
Attaque Kerberoasting. Cet exemple s'applique àFiltrerparamètre pour trouver des comptes avec le
compteAdminattribut défini sur, envoie
1 cette sortie pour trouver tous les comptes avec un Principal de Service
Nom (SPN), et enfin sélectionne quelques attributs concernant les comptes, y compris le compte
nom, appartenance au groupe, et le SPN.

PowerShell - Trouver des utilisateurs administratifs avec le

NomPrincipalService

PSC:\htb>Get-ADUser -Filter "adminCount -eq '1'" -Properties * | where

servicePrincipalName-ne$null|sélectionner
NomDeCompteSam, MembreDe, NomDePrincipalDeService |fl

Nom de compte SAM krbtgt

MembreDe CN=République de mot de passe RODC refusée
Groupe,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL}
{kadmin/changepw}

NomDeCompteSam sqlqa
MembreDe {CN=Domaine
Admins,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL}
{MSSQL_svc_qa/inlanefreight.local:1443}

Il faudrait un temps extrêmement long pour énumérer un environnement Active Directory en utilisant
de nombreuses combinaisons des commandes ci-dessus. Ce dernier exemple pourrait être effectué rapidement
et facilement avec des outils tels quePowerView ou Rubeus Néanmoins, il est important d'appliquer
filtres de manière compétente lors de l'énumération d'AD comme la sortie d'outils tels quePowerView peut même

être davantage filtré pour nous fournir des résultats précis.

Remarque : Lorsque vous générez votre cible, nous vous demandons d'attendre 3 minutes jusqu'à ce que tout le laboratoire avec

toutes les configurations sont mises en place afin que la connexion à votre cible fonctionne sans faille.

Filtres de recherche LDAP

Syntaxe et opérateurs de filtre LDAP de base

Le Filtre LDAPle paramètre avec les mêmes cmdlets nous permet d'utiliser des filtres de recherche LDAP lorsque
à la recherche d'informations. La syntaxe de ces filtres est définie dansRFC 4515 - Léger
Protocole d'accès aux annuaires (LDAP) : Représentation sous forme de chaîne des filtres de recherche.

Les filtres LDAP doivent avoir un ou plusieurs critères. S'il existe plus d'un critère, ils peuvent être
concaténé ensemble à l'aide de logique
ET ouOU opérateurs. Ces opérateurs sont toujours
placé devant les critères (opérandes), qui est également appeléNotation polonaise.

Les règles de filtrage sont entourées de parenthèses et peuvent être regroupées en entourant le groupe de
parenthèses et en utilisant l'un des opérateurs de comparaison suivants :

Fonction opérateur
& et
` `
! pas

Quelques exemplesET et OU les opérations sont les suivantes :

ET Opération :

Un critère : (& (..C1..) (..C2..))

Plus de deux critères : (& (..C1..) (..C2..) (..C3..))

OU Opération :

Un critère : (| (..C1..) (..C2..))

Plus de deux critères : (| (..C1..) (..C2..) (..C3..))

Nous pouvons également avoir des opérations imbriquées, par exemple(|(&

" (..C1..) (..C2..))(& (..C3..)
(..C4..))) traduit par (C1 ET C2) OU (C3 ET C4) ".

Critères de recherche
Lors de l'écriture d'un filtre de recherche LDAP, nous devons spécifier une exigence de règle pour le LDAP.
attribut en question (c'est-à-dire
william ). Les règles suivantes peuvent être utilisées pour
spécifiez nos critères de recherche :

Critères Règle Exemple

Égal à 123 (&(objectclass=user)(displayName=Smith)
Différent de (!(attribut=123)) !classeObjet=groupe)
 Critères Règle Exemple
Présent * *
Non présent (!(attribut=*)) (!dossierD'accueil=*)
Plus grand que >=123
Moins que (attribut<=123) (stockageMax<=100000)
Correspondance approximative (attribut~=123) (sAMAccountName~=Jason)

Jokers (attribut=*A) *Sam

Ceciliencontient une grande liste d'attributs utilisateur, et ci-dessous se trouve une liste de toutes les bases
Attributs.

Liste complète des attributs de base

Nom d'affichage LDAP CN Attribut

le compte expire Expiration du compte 1.2.840.
historiqueDesNomsDeCompte Historique du nom de compte 1.2.840.
tauxAgrégéDeJetonsParUtilisateur ACS-Taux-Token-Aggregé-Par- 1.2.840.
Utilisateur
bande passante RSVP allouable aCS ACS-Allocable-RSVP-Bande passante 1.2.840.
aCSCacheTimeout Délai d'expiration du cache ACS 1.2.840.
Direction aCS ACS-Direction 1.2.840.
aCSDSBMTempsMort ACS-DSBM-TempsMort 1.2.840.
aCSDSBMPriorité ACS-DSBM-Priorité 1.2.840.
aCSDSBMActualiser ACS-DSBM-Rafraîchir 1.2.840.
aCSEnableACSService Activer le service ACS 1.2.840.
aCSEnableRSVPAccounting ACS-Activer-RSVP-Comptabilité 1.2.840.
aCSEnableRSVPMessageLogging ACS-Activer-Message-RSVP 1.2.840.
Journalisation
Niveau
niveau de journalisation des événements aCSde journalisation des événements
1.2.840.
ACS
Nom d'identité aCS Nom d'identité ACS 1.2.840.
aCSMaxAggregatePeakRateParUtilisateurACS-Max-Aggregate-Peak-Rate-Par- 1.2.840.
Utilisateur
aCSMaxDurationParFlux ACS-Durée-Maximale-Par-Flux 1.2.840.
Taille maximale SDU aCS ACS-Taille-SDU-Maximale 1.2.840.
aCSMaxNombreDeFichiersDeCompte ACS-Max-Nb-De-Fichiers-De-Compte 1.2.840.
aCSMaxNbDeFichiersJournal ACS-Max-Nombre-De-Fichiers-Journal 1.2.840.
Nom d'affichage LDAP CN Attribut
aCSMaxPeakBandwidth ACS-Max-Peak-Bandwidth 1.2.840.
aCSMaxPeakBandwidthParFlux ACS-Max-Peak-Bandwidth-Par-Flot 1.2.840.
aCSMaxSizeOfRSVPAccountFile ACS-Taille-Maximale-Du-Compte-RSVP1.2.840
Fichier
aCSMaxSizeOfRSVPLogFile ACS-Taille-Maximale-Du-Fichier-Logs-RSVP
1.2.840.
aCSMaxTokenBucketParFlux ACS-Max-Tampon-De-Token-Par-Flot 1.2.840.
tauxMaxDeJetonsParFlux ACS-Taux-Max-De-Tokens-Par-Flux 1.2.840.
aCSMinimumDelayVariation ACS-Variation de Délai Minimum 1.2.840.
aCSMinimumLatency ACS-Latence-Minimale 1.2.840.
Taille Minimum Policiée aCS Taille minimale contrôlée par l'ACS 1.2.840.
aCSNonReservedMaxSDUSize Taille-Max-SDU-Non-Réservée-ACS 1.2.840.
aCSNonReservedMinPolicedSize ACS-Non-Réservé-Min-Policé- 1.2.840.
Taille
taux de pointe non réservé aCS Taux de pointe non réservé ACS 1.2.840.
aCSNonReservedTokenSize Taille des jetons non réservés ACS 1.2.840.
Limite de Tx non réservée ACS
Limite de transaction non réservée aCS 1.2.840.
aCSNonReservedTxSize ACS-Taille-Tx-Non-Réservée 1.2.840.
aCSPermissionBits ACS-Droits-D'accès 1.2.840.
NomDeLaPolitiqueCSP Nom de la politique ACS 1.2.840.
aCSPriorité ACS-Priorité 1.2.840.
emplacementDesFichiersDeCompteRSVP ACS-RSVP-Lieu-des-fichiers-de-compte1.2.840.
EmplacementDesFichiersJournalRSVPaCSREmplacement des fichiers journaux ACS-RSVP
1.2.840.
aCSServerList Liste des serveurs ACS 1.2.840.
TypeDeServiceaCS Type de service ACS 1.2.840.
aCSTimeOfDay ACS-Heure-De-La-Journée 1.2.840.
aCSTotalNoOfFlows ACS-Total-Nombre-De-Flux 1.2.840.
nomsDeServicesFiablesSupplémentaires Noms de services supplémentaires de confiance
1.2.840.
racinesDuCarnetDAdresses Carnet d'adresses 1.2.840.
Table d'affichage des entrées d'adresse 1.2.840.
tableau d'affichage des entrées d'adresse

Table
tableau d'affichage d'entrée d'adresse d'affichage d'entrée d'adresse
MSDOS 1.2.840.
MSDOS
syntaxeAdresse Syntaxe d'adresse 1.2.840.
type d'adresse Type d'adresse 1.2.840.
menu_contextuel_admin Menu Contextuel Administrateur 1.2.840.
adminCount Compte Admin 1.2.840.
Nom d'affichage LDAP CN Attribut
descriptionAdmin Description de l'administrateur 1.2.840.
nom d'affichage de l'administrateur Nom d'affichage de l'administrateur 1.2.840.
pagesDePropriétésAdministratives Pages de Propriété Admin 1.2.840.
attributs autorisés Attributs autorisés 1.2.840.
attributsAutorisésEffectifs Attributs Autorisés Efficaces 1.2.840.
classesEnfantAutorisées Classes d'enfants autorisées 1.2.840.
classesEnfantAutoriséesEfficaces Classes-Enfants-Autorisées-Efficaces 1.2.840.
identités de sécurité alternatives Identités de sécurité alternatives 1.2.840.
aNR ANR 1.2.840
nomDeL'application Nom de l'application 1.2.840.
s'applique à S'applique à 1.2.840.
versionDuSchémaDeL'application Version du schéma de l'application 1.2.840.
numéro d'actif Numéro d'actif 1.2.840.
assistant Assistant 1.2.840.
assocNTAccount Assoc-NT-Compte 1.2.840.
nomsD'affichageDesAttributs Noms d'affichage des attributs 1.2.840.
ID d'attribut ID d'attribut 1.2.840.
attributSécuritéGUID Attribut-Sécurité-GUID 1.2.840.
syntaxe d'attribut Syntaxe des attributs 1.2.840.
typesD'attribut Types d'attributs 2.5.21.5
politique d'audit Politique d'audit 1.2.840.
optionsD'authentification Options d'authentification 1.2.840.
liste de révocation d'autorité Liste de révocation des autorités 2.5.4.38
classe auxiliaire Classe auxiliaire 1.2.840.
mauvaisTempsDeMotDePasse Temps de mauvais mot de passe 1.2.840.
compteMauvaisMotDePasse Nombre de mots de passe incorrects 1.2.840.
lieu de naissance Lieu de naissance 1.2.840.
listeServeursPontBL Liste-Serveurs-Tête-de-Pont-BL 1.2.840.
listeDesTransportsDuPont Liste de transport de tête de pont 1.2.840.
tempsDeCréationIntégré Heure de création intégrée 1.2.840.
compteModifiéIntégré Compte-Modifié-Intégré 1.2.840.
catégorie d'affaires Catégorie d'affaires 2.5.4.15
octets par minute Octets par minute 1.2.840.
c Nom du pays 2.5.4.6
Nom d'affichage LDAP CN Attribut
cACertificat Certificat CA 2.5.4.37
DNDeCertificatAC CA-Certificat-DN 1.2.840.
cAConnect CA-Connect 1.2.840.
nomCanonical Nom-canonique 1.2.840.
peutMiseÀNiveauScript Peut-Mise-À-Niveau-Script 1.2.840.
catalogues Catalogues 1.2.840.
catégories Catégories 1.2.840.
identifiantCatégorie ID de catégorie 1.2.840.
cAUsages CA-Usages 1.2.840.
cAWEBURL CA-WEB-URL 1.2.840.
objetAutoritéCertificat Objet d'Autorité de Certification 1.2.840.
listeDeRévocationDesCertificats Liste de révocation de certificat 2.5.4.39
modèles de certificat Modèles de certificats 1.2.840.
Nom d'affichage de classe Nom d'affichage de la classe 1.2.840.
cn Nom Commun 2.5.4.3
co Texte-Pays 1.2.840.
codePage Page de code 1.2.840.
cOMClassID ID de classe COM 1.2.840.
cOMCLSID COM-CLSID 1.2.840.
cOMInterfaceID ID d'interface COM 1.2.840.
comment Commentaire de l'utilisateur 1.2.840.
cOMOtherProgId COM-Autre-Prog-Id 1.2.840.
entreprise Entreprise 1.2.840.
cOMProgID COM-ProgID 1.2.840.
cOMTraiterCommeIdDeClasse COM-Traiter-Comme-ID-Classe 1.2.840.
cOMTypelibId COM-Typelib-Id 1.2.840.
cOMUniqueLIBID COM-Unique-LIBID 1.2.840.
indexationDuContenuAutorisée Indexation-Contenu-Autorisée 1.2.840.
menu contextuel Menu contextuel 1.2.840.
contrôleDesDroitsDAccès Droits d'accès au contrôle 1.2.840.
coût Coût 1.2.840.
codePays Code de pays 1.2.840.
créerDialogue Créer-Dialogue 1.2.840.
créerHorodatage Créer un horodatage 2.5.18.1
Nom d'affichage LDAP CN Attribut
créerSorcièreExt Créer-Wizard-Ext 1.2.840.
tempsDeCréation Temps de création 1.2.840.
assistantDeCréation Assistant de création 1.2.840.
créateur Créateur 1.2.840.
cRLObject Objet CRL 1.2.840.
cRLPartitionedRevocationList Liste de révocation partitionnée CRL 1.2.840.
paires de certificats croisés Paire de certificats croisés 2.5.4.40
emplacementActuel Emplacement actuel 1.2.840.
parentCAactuel Parent-actuel-CA 1.2.840.
valeurActuelle Valeur Actuelle 1.2.840.
currMachineId Curr-Id-Machine 1.2.840.
dBCSPwd DBCS-Mdp 1.2.840.
dc Composant de Domaine 0.9.2342
magasinDeClasseParDéfaut Magasin de classe par défaut 1.2.840.
groupeParDéfaut Groupe par défaut 1.2.840.
valeurDeMasquageParDéfaut Valeur par défaut masquée 1.2.840.
objetPolitiqueLocaleParDéfaut Objet de politique locale par défaut 1.2.840.
catégorie d'objet par défaut Catégorie d'objet par défaut 1.2.840.
prioritéParDéfaut Priorité par défaut 1.2.840.
descripteurDeSécuritéParDéfaut Descripteur de sécurité par défaut 1.2.840.
listeDeRévocationDelta Liste de révocation Delta 2.5.4.53
département Département 1.2.840.
description Description 2.5.4.13
profil de bureau Profil de bureau 1.2.840.
indicateurDeDestination Indicateur de destination 2.5.4.27
classesDHCP Classes DHCP 1.2.840.
drapeauxDHCP drapeaux DHCP 1.2.840.
Identification DHCP Identification DHCP 1.2.840.
masqueDHCP masque-DHCP 1.2.840.
dhcpMaxKey dhcp-CléMax 1.2.840.
descriptionObjetDHCP Description d'objet DHCP 1.2.840.
nomObjetDHCP Nom-Objet-DHCP 1.2.840.
optionsDHCP options-dhcp 1.2.840.
propriétésDHCP Propriétés DHCP 1.2.840.
Nom d'affichage LDAP CN Attribut
plagesDHCP Plages DHCP 1.2.840.
réservations DHCP Réservations DHCP 1.2.840.
serveurs DHCP serveurs DHCP 1.2.840.
sites DHCP sites DHCP 1.2.840.
État DHCP État DHCP 1.2.840.
sous-réseaux DHCP sous-réseaux dhcp 1.2.840.
typeDHCP Type-DHCP 1.2.840.
cléUniqueDHCP clé-unique-dhcp 1.2.840.
tempsDeMiseÀJourDHCP Temps de mise à jour DHCP 1.2.840.
rapports directs Rapports 1.2.840.
nom d'affichage Nom d'affichage 1.2.840.
Nom affichable Nom d'affichage imprimable 1.2.840.
nomDistingué Nom-Dist-Obj 2.5.4.49
règles de contenu DIT Règles de contenu DIT 2.5.21.2
division Division 1.2.840.
dMDEmplacement DMD-Emplacement 1.2.840.
nomDMD Nom DMD 1.2.840.
dNReferenceUpdate Mise à jour de la référence DN 1.2.840.
dnsAutoriserDynamique Dns-Autoriser-Dynamique 1.2.840.
dnsAutoriserXFR Dns-Autoriser-XFR 1.2.840.
dNSHostName Nom d'hôte DNS 1.2.840.
dnsNotifySecondaires Dns-Notifier-Secondaires 1.2.840.
dNSProperty Propriété DNS 1.2.840.
Enregistrement DNS Enregistrement DNS 1.2.840.
dnsRoot Dns-Racine 1.2.840.
dnsSecondairesSécurisés Secondaires-Sécurisés-DNS 1.2.840.
dNSTombstoned DNS-Tombstoné 1.2.840.
domainCAs Autorités de certification de domaine 1.2.840.
crossRefDeDomaine Référence-Croisée de Domaine 1.2.840.
identifiantDeDomaine Identifiant de domaine 1.2.840.
identifiantDeDomaine Identifiant de domaine 1.2.840.
objetPolitiqueDomaine Objet-Politique-Domaine 1.2.840.
référence de la politique de domaine Référence de politique de domaine 1.2.840.
réplica de domaine Réplique de domaine 1.2.840.
Nom d'affichage LDAP CN Attribut
politiqueÀDomaineÉlargi Politique à l'échelle du domaine 1.2.840
nomDuConducteur Nom du conducteur 1.2.840.
version du pilote Version du pilote 1.2.840.
dSASignature Signature DSA 1.2.840.
dSCorePropagationData DS-Core-Propagation-Données 1.2.840.
dSHeuristiques DS-Heuristiques 1.2.840.
dSUIAdminMaximum DS-UI-Admin-Maximum 1.2.840.
dSUIAdminNotification DS-UI-Admin-Notification 1.2.840.
dSUIShellMaximum DS-UI-Shell-Maximum 1.2.840.
serveurLDAPdynamique Serveur-LDAP-Dynamique 1.2.840.
eFSPolicy PolitiqueEFS 1.2.840.
ID employé ID d'employé 1.2.840.
numéroEmployé Numéro d'employé 1.2.840.
type d'employé Type d'employé 1.2.840.
Activé Activé 1.2.840.
connexion activée Connexion activée 1.2.840.
fournisseurs d'inscription Inscription - Fournisseurs 1.2.840.
Informations sur les attributs étendus
informations sur les attributs étendus 1.2.840.
caractères étendus autorisés Caractères étendus autorisés 1.2.840.
informationsClasséesÉtendues Informations sur la classe étendue 1.2.840.
nomDeL'extension Nom de l'extension 1.2.840.
numéro de téléphone de télécopie Numéro de téléphone de fax 2.5.4.23
prioritéExtFichier Priorité des extensions de fichier 1.2.840.
drapeaux Drapeaux 1.2.840.
nom de l'appartement Nom de l'appartement 1.2.840.
déconnexionForcée Déconnexion forcée 1.2.840.
identifiantÉtranger Identifiant étranger 1.2.840.
noms amicaux Noms Amicaux 1.2.840.
de l'entrée De l'entrée 1.2.840.
duServeur Depuis le serveur 1.2.840.
référenceOrdinateurFrs Référence-Ordinateur-Frs 1.2.840.
frsRéférenceOrdinateurBL Frs-Ordinateur-Édition-BL 1.2.840.
Création de données de contrôle fRS Création de données de contrôle FRS 1.2.840

fRSControlInboundBacklog FRS-Contrôle-Entrant-Attente 1.2.840.

Nom d'affichage LDAP CN Attribut
fRSControlOutboundBacklog FRS-Contrôle-Sortie-Arriéré 1.2.840.
fRSDirectoryFilter FRS-Annuaire-Filtre 1.2.840.
fRSDSPoll FRS-DS-Élection 1.2.840.
fRSExtensions Extensions FRS 1.2.840.
ÉtatDeDéfaillanceFRS État de défaut FRS 1.2.840.
fRSFileFilter Filtres de fichiers FRS 1.2.840.
fRSFlags Drapeaux FRS 1.2.840.
LimiteNiveauFRS Limite de niveau FRS 1.2.840.
RéférenceMembreFRS Référence-Membre-FRS 1.2.840.
fRSMembreRéférenceBL Référence-Membre-FRS-BL 1.2.840.
niveau d'authentification fRSPartner Niveau d'authentification du partenaire FRS
1.2.840.
membrePrincipalFR Membre Principal FRS 1.2.840.
fRSReplicaSetGUID FRS-Replica-Set-GUID 1.2.840.
Type de jeu de répliques fRS Type de jeu de répliques FRS 1.2.840.
fRSRootPath Chemin racine FRS 1.2.840.
fRSRootSecurity FRS-Root-Sécurité 1.2.840.
fRSServiceCommand Commande-Service-FRS 1.2.840.
ÉtatDeCommandeDuServiceFRS État du service FRS-Commande 1.2.840.
fRSStagingPath FRS-Chemin-Staging 1.2.840.
fRSTimeLastCommand FRS-Heure-Dernière-Commande 1.2.840.
FRS-Heure-Dernière-Changement-De-Configuration
fRSTimeDernièreModificationConfiguration 1.2.840.
fRSUpdateTimeout FRS-Mise à jour-Délai d'attente 1.2.840.
fRSVersion Version FRS 1.2.840.
fRSVersionGUID GUID-Version-FRS 1.2.840.
fRSCheminDeTravail FRS-Chemin-Travail 1.2.840.
fSMORoleOwner Propriétaire du rôle FSMO 1.2.840.
périodeDeCollecteDesDéchets Période de collecte des poubelles 1.2.840.
connexion générée Connexion Générée 1.2.840.
qualificateurDeGénération Génération-qualificatif 2.5.4.44
prénom Prénom 2.5.4.42
listeGlobaleDesAdresses Liste d'adresses globale 1.2.840.
ID de gouvernances Identifier-Gouvernement 1.2.840.
gPCFileSysPath GPC-Fichier-Sys-Chemin 1.2.840.
gPCVersionDeFonctionnalité Version de fonctionnalité GPC 1.2.840.
Nom d'affichage LDAP CN Attribut
gPCMachineExtensionNames Noms d'extension de machine GPC 1.2.840.
noms d'extension gPCUser Noms d'extension utilisateur GPC 1.2.840.
gPLink GP-Lien 1.2.840.
gPOptions Options GP 1.2.840.
attributs de groupe Attributs de groupe 1.2.840.
adhésionGroupeSAM Appartenance au groupe-SAM 1.2.840.
prioritéDeGroupe Priorité de groupe 1.2.840.
groupesÀIgnorer Groupes à ignorer 1.2.840.
typeDeGroupe Type de groupe 1.2.840.
aDesMaîtresNCs Has-Master-NCs 1.2.840.
aDesNCsReplicaPartiels A des répliques partielles-NCs 1.2.840.
aideDonnées16 Aide-Données16 1.2.840.
aideDonnées32 Aide-Données32 1.2.840.
nomDuFichierDAide Nom-du-Fichier-Aide 1.2.840.
répertoirePersonnel Répertoire personnel 1.2.840.
disquePersonnel Accueil-Conduite 1.2.840.
téléphone fixe Téléphone-Domicile-Primaire 0.9.2342
adresse postale domestique Adresse-Domicile 1.2.840.
cheminIco Chemin de l'icône 1.2.840.
catégories mises en œuvre Catégories mises en œuvre 1.2.840.
portéesIndexées PortéesIndexées 1.2.840.
info Comment 1.2.840.
authentificationInitialeEntrante Authentification-Initiale-Entrante 1.2.840.
authInitialSortant Authentification-Initial-Sortante 1.2.840.
initiales Initiales 2.5.4.43
installerNiveauInterface Installer le niveau UI 1.2.840.
typeD'instance Type d'instance 1.2.840.
Numéro ISDN international Numéro ISDN international 2.5.4.25
Basculage de topologie inter-site
échec de basculement de topologie intersite 1.2.840.
générateurDeTopologieInterSite Générateur de topologie inter-site 1.2.840.
renouvellementTopologieInterSite Renouvellement de la topologie inter-sites
1.2.840.
invocationId Identification d'appel 1.2.840.
ipTéléphone Téléphone-Ip-Primaire 1.2.840.
données IPsec Données Ipsec 1.2.840.
Nom d'affichage LDAP CN Attribut
typeDeDonnéesIpsec Type de données Ipsec 1.2.840.
référenceFiltreIpsec Référence de filtre Ipsec 1.2.840.
identifiant IPsec Ipsec-ID 1.2.840.
ipsecISAKMPRéférence Référence Ipsec-ISAKMP 1.2.840.
nom ipsec Nom-Ipsec 1.2.840.
iPSECNegotiationPolicyAction Action de politique de négociation IPSEC
1.2.840.
référence de politique de négociationRéférence
IPsec de la politique de négociation1.2.840.
Ipsec
TypeDePolitiqueDeNégociationIPSEC Type de politique de négociation IPSEC 1.2.840.
référenceNFAipsec Référence Ipsec-NFA 1.2.840.
référenceDesPropriétairesIpsec Référence des propriétaires d'Ipsec 1.2.840.
référencePolitiqueIpsec Référence de politique Ipsec 1.2.840.
estObjetSystèmeCritique Est-Objet-Système-Critique 1.2.840.
est obsolète Est-Défectueux 1.2.840.
estSupprimé Est-Supprimé 1.2.840.
éphémère Est-Éphémère 1.2.840.
Est-Membre-Du-Set-Attribut-Partiel
estMembreDunEnsembleDAttributsPartiels 1.2.840.
estTitulaireDePrivilege Détenteur de privilège 1.2.840.
estUnSeulValeur Est-Unique 1.2.840.
mots-clés Mots-clés 1.2.840.
information connaissance Connaissance-Information 2.5.4.2
l Nom de la Localité 2.5.4.7
Dernière Heure de Restauration de Sauvegarde
dernierTempsDeRestaurationDeSauvegarde 1.2.840.
dernier contenu indexé Dernier contenu indexé 1.2.840.
dernierParentConnu Dernier-parent-connu 1.2.840.
dernierDéconnexion Dernière déconnexion 1.2.840.
dernière connexion Dernière connexion 1.2.840.
dernierTempsDéfini Dernière heure de réglage 1.2.840.
dernierSéquenceMiseÀJour Dernière-séquence-de-mise-à-jour 1.2.840.
lDAPAdminLimits Limites de l'Admin LDAP 1.2.840.
lDAPDisplayName Nom d'affichage LDAP 1.2.840.
listeDeDenyDeIDAP ListeDesInterdictionsLDAP-IP 1.2.840.
legacyExchangeDN Héritage-Exchange-DN 1.2.840.
identifiantDeLien Identifiant de lien 1.2.840.
lienSuiviSecret Lien-Suivi-Secrét 1.2.840.
Nom d'affichage LDAP CN Attribut
historiqueMotDePasseLm Historique de Lm-Pwd 1.2.840.
identifiant de la locale Identifiant de la locale 1.2.840.
localizationDisplayId Identifiant d'affichage de localisation 1.2.840.
description localisée Description localisée 1.2.840.
drapeauxPolitiqueLocale Drapeaux de politique locale 1.2.840.
référenceDePolitiqueLocale Référence de politique locale 1.2.840.
emplacement Emplacement 1.2.840.
durée de verrouillage Durée de verrouillage 1.2.840.
fenêtre d'observation de verrouillageFenêtre d'observation de verrouillage 1.2.840.
seuil de verrouillage Seuil de verrouillage 1.2.840.
temps de verrouillage Temps de verrouillage 1.2.840.
nombre de connexions Nombre de connexions 1.2.840.
heuresDeConnexion Heures de connexion 1.2.840.
stationDeTravailLogon Station de travail de connexion 1.2.840.
lSACreationTime Temps de création LSA 1.2.840.
lSAModifiedCount LSA-Modifié-Compte 1.2.840.
architectureMachine Architecture de machine 1.2.840.
intervalleChangementMotDePasseMachineIntervalle de changement de mot de passe
1.2.840.
de la machine
rôleMachine Rôle de la machine 1.2.840.
politiqueÀLargePortée Politique à l'échelle de la machine 1.2.840.
mail Adresses e-mail 0.9.2342
adresseEmail Adresse e-mail SMTP 1.2.840.
géré par Géré par 1.2.840.
objets gérés Objets gérés 1.2.840.
manager Gestionnaire 0.9.2342
mAPIID ID MAPI 1.2.840.
interface mise en file Interface Marshalée 1.2.840.
maîtrisé par Maîtrisé par 1.2.840.
âge max du mot de passe Durée max du mot de passe 1.2.840.
âgeMaxRenouvellement Max-Renew-Age 1.2.840.
stockageMax Max-Rangement 1.2.840.
âgeMaxDuBillet Âge maximal du ticket 1.2.840.
peutContenir Peut Contenir 1.2.840.
champPublicitaireRéunion portée de la publicité de réunion 1.2.840.
Nom d'affichage LDAP CN Attribut
application de réunion demandeDeRéunion 1.2.840.
bande passante de réunion bande passante de réunion 1.2.840.
réunionBlob blobDeRéunion 1.2.840.
informationsDeContactDeRéunion informationsDeContactDeRéunion 1.2.840.
descriptionDeLaRéunion descriptionDeRéunion 1.2.840.
heure de fin de réunion heure de fin de réunion 1.2.840.
ID de réunion identifiantDeRéunion 1.2.840.
réunionIP réunionIP 1.2.840.
la réunion est cryptée la réunion est chiffrée 1.2.840.
motCléRéunion mot clé de réunion 1.2.840.
langue de réunion langue de réunion 1.2.840.
lieuDeRencontre lieu de réunion 1.2.840.
nombre maximum de participants à la réunion
nombre maximal de participants à la réunion 1.2.840.
nom de la réunion nom de la réunion 1.2.840.
initiateurDeRéunion initiateurDeRéunion 1.2.840.
propriétaire de la réunion propriétaire de la réunion 1.2.840.
protocoleDeRéunion protocoleDeRéunion 1.2.840.
évaluation de la réunion évaluation de la réunion 1.2.840.
récurrenceDeRéunion répétition de réunion 1.2.840.
portée de la réunion portée de la réunion 1.2.840.
heureDeDébutDeRéunion heure_de_début_de_réunion 1.2.840.
type de réunion Type de réunion 1.2.840.
URL de la réunion URL_de_rencontre 1.2.840.
membre Membre 2.5.4.31
membreDe Est-Membre-De-DL 1.2.840.
mhsORAdresse MHS-OR-Adresse 1.2.840.
deuxième prénom Autre-nom 2.16.840
âgeMinPwd Âge minimal du mot de passe 1.2.840.
longueurMinMotDePasse Longueur min de mot de passe 1.2.840.
âgeMinTicket Âge minimum du billet 1.2.840.
mobile Téléphone-Mobile-Primaire 0.9.2342
compteModifié Compte-modifié 1.2.840.
compteModifiéAuDernierProm Nombre modifié à la dernière promotion1.2.840.
modifierHorodatage Horodatage de modification 2.5.18.2
Nom d'affichage LDAP CN Attribut
surnom Surnom 1.2.840.
nom d'affichage Nom d'affichage Moniker 1.2.840.
déplacerÉtatArbre Déplacer l'état de l'arbre 1.2.840.
mscopeId Mscope-Id 1.2.840.
mS-DS-ConsistencyChildCount MS-DS-Consistency-Child-Count 1.2.840.
mS-DS-ConsistencyGuid MS-DS-Consistency-Guid 1.2.840.
mS-DS-CreatorSID MS-DS-Creator-SID 1.2.840.
ms-DS-MachineAccountQuota MS-DS-Quota de compte machine 1.2.840.
mS-DS-RépliquesNCRaison MS-DS-Réplications-NC-Raison 1.2.840.
listeDeFichiersMsi Liste des fichiers Msi 1.2.840.
msiScript Msi-Script 1.2.840.
msiScriptName Nom du script Msi 1.2.840.
cheminDuScriptMsi Chemin du script Msi 1.2.840.
tailleDuScriptMsi Taille du script Msi 1.2.840.
mSMQAuthentifier MSMQ-Authentifier 1.2.840.
mSMQBasePriority Priorité de base MSMQ 1.2.840.
TypeOrdinateurMSMQ Type d'ordinateur MSMQ 1.2.840.
mSMQComputerTypeEx Type d'ordinateur MSMQ-Ex 1.2.840.
Coût mSMQ MSMQ-Coût 1.2.840.
mSMQCSPNom MSMQ-CSP-Nom 1.2.840.
ServiceClientDépendantMsmq Service-client dépendant de MSMQ 1.2.840.
mSMQDependentClientServices Services de clients dépendants de MSMQ
1.2.840.
mSMQDigests MSMQ-Digests 1.2.840.
mSMQDigestsMig MSMQ-Digests-Mig 1.2.840.
mSMQDsService Service MSMQ-Ds 1.2.840.
mSMQDsServices Services MSMQ-Ds 1.2.840.
mSMQEncryptKey MSMQ-Chiffre-Clé 1.2.840.
mSMQÉtranger MSMQ-Étranger 1.2.840.
mSMQInRoutingServers Serveurs de routage MSMQ 1.2.840.
mSMQInterval1 MSMQ-Intervalle1 1.2.840.
mSMQInterval2 MSMQ-Interval2 1.2.840.
mSMQJournal Journal MSMQ 1.2.840.
mSMQJournalQuota Quota de journal MSMQ 1.2.840.
mSMQLabel Étiquette MSMQ 1.2.840.
Nom d'affichage LDAP CN Attribut
mSMQLabelEx Étiquette-MSMQ-Ex 1.2.840.
mSMQLongLived MSMQ à long terme 1.2.840.
mSMQMigré MSMQ-Migré 1.2.840.
mSMQNameStyle Style-de-Nom-MSMQ 1.2.840.
mSMQNt4Flags Drapeaux MSMQ-Nt4 1.2.840.
mSMQNt4Stub MSMQ-Nt4-Stub 1.2.840.
mSMQOSType Type-OS-MSMQ 1.2.840.
mSMQServeursDeRoutageSortants Serveurs de routage MSMQ-Out 1.2.840.
mSMQOwnerID ID-Propriétaire-MSMQ 1.2.840.
mSMQPrevSiteGates MSMQ-Pré-Site-Portes 1.2.840.
niveau de confidentialité mSMQ Niveau de confidentialité MSMQ 1.2.840.
mSMQQMID MSMQ-QM-ID 1.2.840.
mSMQQueueJournalQuota Quota de journal de file d'attente MSMQ1.2.840.
mSMQQueueNameExt Nom-de-Queue-MSMQ-Ext 1.2.840.
mSMQQueueQuota Quota de file d'attente MSMQ 1.2.840.
mSMQQueueType Type de file d'attente MSMQ 1.2.840.
mSMQQuota Quota MSMQ 1.2.840.
ServiceDeRoutageMSMQ Service de routage MSMQ 1.2.840.
ServicesDeRoutageMSMQ Services de routage MSMQ 1.2.840.
mSMQServices Services MSMQ 1.2.840.
Type de service mSMQ Type de service MSMQ 1.2.840.
mSMQSignCertificates Certificats de signature MSMQ 1.2.840.
mSMQSignCertificatesMig MSMQ-Sign-Certificats-Mig 1.2.840.
mSMQSignKey Clé de signature MSMQ 1.2.840.
mSMQSite1 MSMQ-Site-1 1.2.840.
mSMQSite2 MSMQ-Site-2 1.2.840.
mSMQSiteForeign MSMQ-Site-Étranger 1.2.840.
mSMQSiteGates Portes MSMQ 1.2.840.
mSMQSiteGatesMig MSMQ-Site-Gates-Mig 1.2.840.
mSMQSiteID ID-Site-MSMQ 1.2.840.
mSMQSiteName Nom-du-site-MSMQ 1.2.840.
mSMQSiteNameEx Nom du site MSMQ-Ex 1.2.840.
mSMQSites Sites MSMQ 1.2.840.
mSMQTransactionnel MSMQ-Transactionnel 1.2.840.
Nom d'affichage LDAP CN Attribut
mSMQUserSid MSMQ-User-Sid 1.2.840.
mSMQVersion Version MSMQ 1.2.840.
msNPAllowDialin msNPAllowDialin 1.2.840.
msNPCalledStationID msNPCalledStationID 1.2.840.
msNPIdentifiantStationAppelant msNPIDStationAppel 1.2.840.
msNPSavedCallingStationID msNPSavedCallingStationID 1.2.840.
msRADIUSCallbackNumber msRADIUSCallbackNumber 1.2.840.
msRADIUSFramedIPAddress msRADIUSFramedIPAddress 1.2.840.
msRADIUSFramedRoute msRADIUSFramedRoute 1.2.840.
msTypeDeServiceRADIUS msRADIUSServiceType 1.2.840.
msRASSavedCallbackNumber msRASSavedCallbackNumber 1.2.840.
msRASSavedFramedIPAddress msRASSavedFramedIPAddress 1.2.840.
msRASSavedFramedRoute msRASSavedFramedRoute 1.2.840.
msRRASAttribute ms-RRAS-Attribut 1.2.840.
msRRASVendorAttributeEntry ms-RRAS-Vendor-Attribute-Entry 1.2.840.
mS-SQL-Alias Alias MS-SQL 1.2.840.
mS-SQL-AutoriserAbonnementAnonyme MS-SQL- 1.2.840.
Autoriser l'abonnement anonyme
mS-SQL- MS-SQL- 1.2.840.
Autoriser la mise à jour immédiate dePermettre l'abonnement de mise à jour immédiate
l'abonnement

mS-SQL-AutoriserAbonnementTirConnu MS-SQL- 1.2.840.

Autoriser l'abonnement pull connu
mS-SQL- MS-SQL- 1.2.840.
AutoriserAbonnementMiseÀJourEnFile AutoriserMiseÀJourAbonnementEnAttente
mS-SQL- MS-SQL- 1.2.840.
Autoriser le téléchargement de fichiers instantanés par FTP
Autoriser le téléchargement de fichiers d'instantanés par FTP

mS-SQL-AppleTalk MS-SQL-AppleTalk 1.2.840.

Applications mS-SQL Applications MS-SQL 1.2.840.
mS-SQL-Bâtir MS-SQL-Construire 1.2.840.
jeu de caractères mS-SQL JeuDeCaractères-MS-SQL 1.2.840.
mS-SQL-Clusterisé MS-SQL-Clusterisé 1.2.840.
mS-SQL-URLDeConnexion URL de connexion MS-SQL 1.2.840.
mS-SQL-Contact MS-SQL-Contact 1.2.840.
mS-SQL-DateDeCréation MS-SQL-DateDeCréation 1.2.840.
Base de données mS-SQL Base de données MS-SQL 1.2.840.
Nom d'affichage LDAP CN Attribut
mS-SQL-Description MS-SQL-Description 1.2.840.
mS-SQL-HauteurGPS MS-SQL-HauteurGPS 1.2.840.
mS-SQL-GPSLatitude MS-SQL-GPSLatitude 1.2.840.
mS-SQL-GPSLongitude MS-SQL-GPSLongitude 1.2.840.
mS-SQL-DirectoryInformation MS-SQL-InformationsRépertoire 1.2.840.
mS-SQL-InformationURL URL d'information MS-SQL 1.2.840.
mS-SQL-Mots-clés Mots-clés MS-SQL 1.2.840.
mS-SQL-Langue Langage MS-SQL 1.2.840.
mS-SQL-DateDernièreSauvegarde MS-SQL-DernièreDateDeSauvegarde 1.2.840.
mS-SQL-DernièreDateDeDiagnostic MS-SQL-DernièreDateDeDiagnostic 1.2.840.
mS-SQL-DernièreDateMiseÀJour MS-SQL-DateDernièreMiseÀJour 1.2.840.
mS-SQL-Emplacement MS-SQL-Emplacement 1.2.840.
mS-SQL-Mémoire MS-SQL-Mémoire 1.2.840.
mS-SQL-MultiProtocole MS-SQL-MultiProtocole 1.2.840.
mS-SQL-Nom MS-SQL-Nom 1.2.840.
mS-SQL-NamedPipe MS-SQL-TuyauNommé 1.2.840.
mS-SQL-URLDePublication MS-SQL-URLDePublication 1.2.840.
mS-SQL-Publicateur MS-SQL-Publieur 1.2.840.
Propriétaire enregistré mS-SQL Propriétaire enregistré MS-SQL 1.2.840.
CompteDeService mS-SQL CompteService-MS-SQL 1.2.840.
mS-SQL-Taille Taille MS-SQL 1.2.840.
mS-SQL-OrdreDeTri MS-SQL-OrdreDeTri 1.2.840.
mS-SQL-SPX MS-SQL-SPX 1.2.840.
État mS-SQL État MS-SQL 1.2.840.
mS-SQL-TCPIP MS-SQL-TCPIP 1.2.840.
mS-SQL-Tiers MS-SQL-Tiers 1.2.840.
mS-SQL-Type Type MS-SQL 1.2.840.
mS-SQL-UnicodeSortOrder MS-SQL-OrdreDeTriUnicode 1.2.840.
version de mS-SQL Version MS-SQL 1.2.840.
mS-SQL-Vignes MS-SQL-Vignes 1.2.840.
doitContenir À inclure absolument 1.2.840.
nom RDN 1.2.840.
drapeauxDeServiceNom Drapeaux de service de nom 1.2.840.
nCName NC-Nom 1.2.840.
Nom d'affichage LDAP CN Attribut
nETBIOSNom Nom NETBIOS 1.2.840.
permettreNouveauxClientsNetboot netboot-Autoriser-Nouveaux-Clients 1.2.840.
répondreUniquementAuxClientsValides netboot-Répondre-Seulement-Clients-Valides
1.2.840.
répondreAuxDemandesNetboot netboot-Répondre-Demandes 1.2.840.
nombreActuelDeClientsNetboot nombre-de-clients-actuels-netboot 1.2.840.
netbootGUID Netboot-GUID 1.2.840.
initialisationNetboot Initialisation de Netboot 1.2.840.
netbootIntelliMirrorOSes netboot-IntelliMirror-OSes 1.2.840.
limiteClientNetboot limite des clients netboot 1.2.840.
osInstallésLocalementPourLeNetboot netboot-Systèmes-Exécutés-Localement1.2.840.
cheminFichierMachineNetboot Chemin du fichier de la machine Netboot1.2.840.
netbootMaxClients netboot-Max-Clients 1.2.840.
fichierDeDonnéesDeMiroirNetboot Fichier de données de miroir Netboot 1.2.840.
politique de nommage de nouvelle machine netboot 1.2.840.
politiqueDeNominationDesNouvellesMachinesNetboot

netbootNouvelleMachineOU netboot-Nouvelle-Machine-OU 1.2.840.

netbootSCPBL netboot-SCP-BL 1.2.840.
serveurNetboot serveur de démarrage réseau 1.2.840.
fichierSIFNetboot Fichier SIF de Netboot 1.2.840.
outilsNetboot outils netboot 1.2.840.
adresseRéseau Adresse réseau 1.2.840.
magasinNiveauSuivant Boutique Niveau Supérieur 1.2.840.
prochainRid Next-Rid 1.2.840.
membreNonSécurisé Non-membre de la sécurité 1.2.840.
membreNonSécuritaireBL Membre non sécurisé BL 1.2.840.
notes Informations supplémentaires 1.2.840.
listeDeNotifications Liste des notifications 1.2.840.
nTGroupMembers Membres du Groupe NT 1.2.840.
nTMixedDomain NT-Domaine-Mélangé 1.2.840.
historiqueNtMdP Nt-Historique-Mdp 1.2.840.
nTSecurityDescriptor Descripteur de sécurité NT 1.2.840.
o Nom de l'organisation 2.5.4.10
catégorieD'objet Objet-Catégorie 1.2.840.
objetClasse Classe d'objet 2.5.4.0
catégorieDeClasseObjet Catégorie de classe d'objet 1.2.840.
Nom d'affichage LDAP CN Attribut
classesObjets Classes d'objets 2.5.21.6
nombreD'objets Compte des objets 1.2.840.
objectGUID Objet-Guid 1.2.840.
objectSid Objet-Sid 1.2.840.
versionObjet Version d'objet 1.2.840.
Informations oEM Informations OEM 1.2.840.
oMObjectClass Classe d'objet OM 1.2.840.
oMSyntax OM-Syntax 1.2.840.
oMTGuid OMT-Guid 1.2.840.
oMTIndxGuid OMT-Indx-Guid 1.2.840.
système d'exploitation Système d'exploitation 1.2.840.
correctif de système d'exploitation Correctif du système d'exploitation 1.2.840.
Pack de services du système d'exploitation
pack de service du système d'exploitation 1.2.840.
version du système d'exploitation Version du système d'exploitation 1.2.840.
nombre d'opérateurs Nombre d'opérateurs 1.2.840.
description de l'option Description de l'option 1.2.840.
options Options 1.2.840.
emplacementOptions Options-Emplacement 1.2.840.
tableauAffichageOriginal Table d'affichage d'origine 1.2.840.
tableauAffichageOriginalMSDOS Tableau d'affichage original MSDOS 1.2.840
autreNuméroDeTéléphoneFacsimilé Téléphone-Fax-Autre 1.2.840.
autreNuméroDeTéléphoneDomicile Téléphone-Domicile-Autre 1.2.840.
autreTéléphoneIp Téléphone-IP-Autre 1.2.840.
autresStationsDeConnexion Autres postes de travail de connexion 1.2.840.
autreBoîteAuxLettres Autre boîte aux lettres 1.2.840.
autreMobile Téléphone-Mobile-Autre 1.2.840.
autrePageur Téléphone-Pager-Autre 1.2.840.
autreTéléphone Téléphone 1.2.840.
autresObjetsBienConnu Autres objets bien connus 1.2.840.
ou Nom de l'unité organisationnelle 2.5.4.11
propriétaire Propriétaire 2.5.4.32
drapeauxDuPaquet Drapeaux de paquet 1.2.840.
nomDuPaquet Nom du paquet 1.2.840.
typeDePaquet Type de paquet 1.2.840.
Nom d'affichage LDAP CN Attribut
pager Téléphone-Porteur-Primaire 0.9.2342
parentCA Parent-CA 1.2.840.
chaîne de certificats CA parent Chaîne de certificats parent-CA 1.2.840.
parentGUID Parent-GUID 1.2.840.
listeDeSuppressionDAttributsPartiels Liste de suppression partielle d'attributs 1.2.840.

ensembleD'attributsPartiel Ensemble d'attributs partiels 1.2.840.

intervalleChangementCléPek Intervalle de changement de clé Pek 1.2.840.
pekListe Liste Pek 1.2.840.
certificatsCAenattente Certificats CA en attente 1.2.840.
pendingParentCA En attente-Parent-CA 1.2.840.
tableauAffichageDialoguePerMsg Table d'affichage de dialogue par message
1.2.840.
perRecipDialogDisplayTable Table d'affichage de dialogue de per-recipient
1.2.840.
titre personnel Titre personnel 1.2.840.
nomDuBureauDeLivraisonPhysique Nom du bureau de livraison physique 2.5.4.19
objetEmplacementPhysique Objet de localisation physique 1.2.840.
pKICriticalExtensions PKI-Extensions-Critiques 1.2.840.
pKIDefaultCSPs PKI-Default-CSPs 1.2.840.
pKIDefaultKeySpec PKI-Clé-Par-Défaut-Spec 1.2.840.
pKIEnrollmentAccess Accès à l'inscription PKI 1.2.840.
pKIExpirationPeriod Période d'expiration PKI 1.2.840.
pKIUsageDesClésÉtendues Utilisation étendue de la clé PKI 1.2.840.
pKIKeyUsage Utilisation de la clé PKI 1.2.840.
pKIMaxIssuingDepth Profondeur-Max-Délivrance-PKI 1.2.840.
pKIOverlapPeriod Période de chevauchement PKI 1.2.840.
pKT PKT 1.2.840.
pKTGuid PKT-Guid 1.2.840.
drapeauxDeRéplicationDesPolitiques Drapeaux de réplication de politique 1.2.840.
nomDuPort Nom du port 1.2.840.
inférieursPossibles Possibles-Inferieurs 1.2.840.
supérieurs Poss-Superieurs 1.2.840.
adresse postale Adresse postale 2.5.4.16
code postal Code postal 2.5.4.17
boîte postale Case postale 2.5.4.18
méthode de livraison préférée Méthode de Livraison Préférée 2.5.4.28
Nom d'affichage LDAP CN Attribut
OU préféré Préféré-OU 1.2.840.
cartePréfixe Carte de préfixes 1.2.840
adresse de présentation Adresse de présentation 2.5.4.29
certificatsCAprécédents Certificats précédents CA 1.2.840.
parentCAPrécédent Parent Précédent CA 1.2.840.
IDGroupePrincipal ID de groupe principal 1.2.840.
jetonGroupePrincipal Jeton de groupe principal 1.2.840.
numéro ISDN international principal Téléphone-ISDN-Primaire 1.2.840.
numéro Telex principal Telex-Principal 1.2.840.
imprimerAttributs Attributs d'impression 1.2.840.
imprimerNomsBin Imprimer-Noms-De-Bin 1.2.840.
imprimerCollationner Imprimer-Agencer 1.2.840.
imprimerCouleur Couleur d'impression 1.2.840.
Impression-Duplex-Supportée
Impression recto verso prise en charge 1.2.840.
imprimerHeureDeFin Heure de fin d'impression 1.2.840.
nomDeL'imprimante Nom de l'imprimante 1.2.840.
imprimerNomDuFormulaire Nom du formulaire d'impression 1.2.840.
imprimerGarderLesEmploisImprimés Imprimer-Garder-Jobs Imprimés 1.2.840.
imprimerLangue Langue d'impression 1.2.840.
imprimerAdresseMAC Imprimer l'adresse MAC 1.2.840.
imprimerMaxCopies Imprimer-Max-Copies 1.2.840.
imprimerRésolutionMaxImposée Résolution maximale d'impression prise 1.2.840.
en charge
imprimerMaxXEtendue Impression-Max-X-Étendue 1.2.840.
imprimerMaxYÉtendue Impression-Max-Y-Étendue 1.2.840.
imprimable Prêt pour les médias imprimés 1.2.840.
médiaImpriméSupporté Soutenu par les médias imprimés 1.2.840.
imprimerMémoire Imprimer-Mémoire 1.2.840.
imprimerMinXÉtendue Impression-Min-X-Étendue 1.2.840.
imprimerMinYÉtendue Imprimer-Min-Y-Étendue 1.2.840.
imprimerAdresseRéseau Imprimer-Adresse-Réseau 1.2.840.
imprimerNotification Impression-Alerte 1.2.840.
imprimerNombreHaut Imprimer-Nombre-Haut 1.2.840.
orientationsImpressionPrisesEnCharge Orientations d'impression prises en charge
1.2.840.
imprimerPropriétaire Propriétaire d'imprimante 1.2.840.
 Nom d'affichage LDAP CN Attribut
imprimerPagesParMinute Pages-Imprimées-Par-Minute 1.2.840.
imprimerTaux Taux d'impression 1.2.840.
imprimerUnitéTaux Unité de taux d'impression 1.2.840.
imprimerSéparateurFichier Imprimer-Séparateur-Fichier 1.2.840.
imprimerNomPartage Imprimer-Partage-Nom 1.2.840.
impression en file d'attente Mise en file d'attente d'impression 1.2.840.
agrafageImprimantePrisEnCharge Impression-pièce pris en charge 1.2.840.
imprimerHeureDébut Heure de début d'impression 1.2.840.
imprimerStatut État d'impression 1.2.840.
priorité Priorité 1.2.840.
tempsPrécédemmentDéfini Temps de réglage préalable 1.2.840.
valeurPrécédente Valeur Préalable 1.2.840.

Identifiants d'objet (OID)

Nous pouvons également utiliser la règle de correspondance.Identifiants d'objet (OID)avec les filtres LDAP comme indiqué dans ce
Syntaxe de filtre de recherchedocument de Microsoft :

Règle de correspondance OID

Identifiant de chaîne Description
1.2.840.113556.1.4.803 Un match n'est trouvé que
RÈGLE_DE_CORRESPONDANCE_LDAP_BIT_AND
si tous les bits de la
attribuer correspondre au
valeur. Cette règle est
équivalent à un
opérateurEtBinaire
1.2.840.113556.1.4.804 Une correspondance est trouvée si
RÈGLE_DE_CORRESPONDANCE_LDAP_BIT_OR
des morceaux du
attribuer correspondre au
valeur. Cette règle est
équivalent à un
opérateurOUbitàbit
 Règle de correspondance OID
Identifiant de chaîne Description
1.2.840.113556.1.4.1941LDAP_MATCHING_RULE_IN_CHAIN Cette règle est limitée à
filtres qui s'appliquent à
le DN. C'est un
spécial "étendu"
opérateur de correspondance qui

marche la chaîne de
ascendance dans tous les objets
le chemin vers la racine
jusqu'à ce qu'il trouve une correspondance.

Nous pouvons clarifier les OIDs ci-dessus avec quelques exemples. Prenons la requête LDAP suivante:

(&(objectCategory=person)(objectClass=user))
(userAccountControl:1.2.840.113556.1.4.803:=2))

Cette requête renverra tous les comptes d'utilisateur désactivés administrativement, ou(2).
Nous pouvons combiner cette requête en tant que filtre de recherche LDAP avec leObtenir-ADUtilisateur
" cmdlet contre
notre domaine cible. La requête LDAP peut être abrégée comme suit :

Requête LDAP - Filtrer les comptes d'utilisateurs désactivés

PSC:\htb>Get-ADUser-FiltreLDAP
(userAccountControl:1.2.840.113556.1.4.803:=2)|sélectionner_nom

nom
----
Invité
CompteParDéfaut
krbtgt
CompteApplication Exchange Online
SystemMailbox{1f05a927-35b9-4cc9-bbe1-11e28cddb180}
SystemMailbox{bb558c35-97f1-4cb9-8ff7-d53741dc928c}
SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}
DiscoverySearchMailbox {D919BA05-46A6-415f-80AD-7E09334BB852}
Migration.8f3e7716-2011-43e4-96b1-aba62d229136
CourrierÉlectroniqueFédéré.4c1f4d8b-8179-4148-93bf-00a95fa1e042
SystemMailbox{D0E409A0-AF9B-4720-92FE-AAC869B0D201}
SystemMailbox{2CE34405-31BE-455D-89D7-A7C7DA7A0DAA}
BoîteAuxLettresSystème{8cc370d3-822a-4ab8-a926-bb94bd0641a9}

Maintenant, examinons un exemple de la règle de correspondance extensible

1.2.840.113556.1.4.1941 ".
Considérez la requête suivante :
 (membre : 1.2.840.113556.1.4.1941 := CN=Harry Jones, OU=Réseau
Ops,OU=IT,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL

Cette règle de correspondance trouvera tous les groupes auxquels l'utilisateur

Harry appartient
Jones ("
CN=Harry
) est un
Jones,OU=Opérations Réseau,OU=TI,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL
membre de. Utiliser ce filtre avec le " Obtenir-GroupeAD
Le cmdlet nous donne la sortie suivante :

Requête LDAP - Trouver tous les groupes

PSC:\htb>Get-ADGroup-LDAPFilter
(membre:1.2.840.113556.1.4.1941:=CN=Harry Jones,OU=Réseau
Ops,OU=IT,OU=Employees,DC=INLANEFREIGHT,DC=LOCAL)'|selectNom

Nom
----
Administrateurs
Opérateurs de sauvegarde
Administrateurs de domaine

Mot de passe RODC pour le groupe de réplication refusé

Administrateurs LAPS

Opérations de sécurité
Service d'assistance

Équipe Réseau

Types de filtres, Types d'articles et Caractères échappés

Avec la recherche LDAPfiltresnous avons les quatre types de filtres suivants :

Signification de l'opérateur

= Égal à
~= Environ égal à
>= Supérieur ou égal à
<= Moins que ou égal à

Et nous avons quatre types d'articles :

 Type Signification
= Simple
=* Présent
=quelque chose* Sous-chaîne

Extensible varie en fonction du type

Enfin, les caractères suivants doivent être échappés s'ils sont utilisés dans un filtre LDAP :

Caractère représenté en hexadécimal

* a
( 28
) 29
\ \5c
NUL

Exemples de filtres LDAP

Construisons quelques filtres LDAP supplémentaires à utiliser contre notre domaine de test.

Nous pouvons utiliser le filtre (&(objectCategory=user)(description=*)) pour trouver tous les utilisateurs

des comptes qui n'ont pas de blancdescription champ. C'est une recherche utile qui devrait être
réalisé sur chaque évaluation de réseau interne car il n'est pas rare de trouver des mots de passe pour
utilisateurs stockés dans l'attribut de description de l'utilisateur dans AD (qui peut être lu par tous les utilisateurs d'AD).

cmdlet, nous pouvons rechercher tous les utilisateurs de domaine qui font
Combiner cela avec le " Obtenir-ADUtilisateur
n'avoir pas de champ de description vide et, dans ce cas, trouver un mot de passe de compte de service !

Requête LDAP - Champ de description

PSC:\htb>Obtenir-ADUtilisateur-Propriétés* -FiltreLDAP'(&(catégorieObjet=utilisateur)

(description=*))'|selectsamaccountname,description

nom d'utilisateur SAM

-------------- -----------
Compte intégré Administrateur pour administrer l'ordinateur/domaine
Invité Compte intégré pour l'accès invité à l'ordinateur/domaine
 CompteParDéfaut Un compte utilisateur géré par le système.
krbtgt Compte de service du centre de distribution de clés

svc-sccm **Ne pas changer de mot de passe** 03/04/2015 N3ssu$_svc2014!

Ce filtre (userAccountControl:1.2.840.113556.1.4.803:=524288) peut être utilisé pour

trouver tous les utilisateurs ou ordinateurs marqués comme , ou
de confiance pour la délégation sans contrainte
délégation, qui sera abordée dans un module ultérieur sur les attaques Kerberos. Nous pouvons énumérer
utilisateurs avec l'aide de ce filtre LDAP :

Requête LDAP - Trouver des utilisateurs de confiance

PSC:\htb>Get-ADUser-Properties* -FiltreLDAP
(userAccountControl:1.2.840.113556.1.4.803:=524288)|sélectionner
Nom

Nom sqldev
membre de CN=Protégé
Utilisateurs,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL
{MSSQL_svc_dev/inlanefreight.local:1443}
Vérifié pour délégation : Vrai

Nous pouvons également énumérer les ordinateurs avec ce paramètre :

Requête LDAP - Trouver des ordinateurs de confiance

PSC:\htb>Obtenir-ADOrdinateur-Propriétés* -FiltreLDAP
(userAccountControl:1.2.840.113556.1.4.803:=524288)'|sélectionner
NomDistingué

CN=DC01,OU=Domaine
Contrôleurs,DC=INLANEFREIGHT,DC=LOCAL
{exchangeAB/DC01,
exchangeAB/DC01.INLANEFREIGHT.LOCAL, TERMSRV/DC01,
TERMSRV/DC01.INLANEFREIGHT.LOCAL...
VérifiéPourDélégation : Vrai

CN=SQL01,OU=SQL
Serveurs,OU=Serveurs,DC=INLANEFREIGHT,DC=LOCAL
MSSQLsvc/SQL01.INLANEFREIGHT.LOCAL:1433
TERMSRV/SQL01, TERMSRV/SQL01.INLANEFREIGHT.LOCAL
HôteKrbRestreint/SQL01...}
TrustedForDelegation : True
Enfin, recherchons tous les utilisateurs avec lecompteAdministrateur
" attribut défini sur 1 à qui
contrôle de compte l'attribut est réglé avec le drapeau
d'utilisateur , ce qui signifie que le
PASSPHRASE_NON_REQUISE
un compte peut avoir un mot de passe vide. Pour ce faire, nous devons combiner deux recherches LDAP.

filtres comme suit :

(&(objectCategory=person)(objectClass=user))
(userAccountControl:1.2.840.113556.1.4.803:=32))(adminCount=1)

Requête LDAP - Utilisateurs avec mot de passe vide

PSC:\htb>Obtenir-AdUtilisateur-LDAPFiltre '(&(objectCategory=person)
(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=32))
(adminCount=1)'-Propriétés*| sélectionner nom, membre de |fl

nom Jenna Smith

membre de : CN=Schema Admins,CN=Users,DC=INLANEFREIGHT,DC=LOCAL

nom Harry Jones

CN=Équipe Réseau, CN=Utilisateurs, DC=INLANEFREIGHT, DC=LOCAL, CN=Aide
Bureau,OU=Sécurité de Microsoft Exchange
Groupes,DC=INLANEFREIGHT,DC=LOCAL, CN=Sécurité
Opérations, CN=Utilisateurs, DC=INLANEFREIGHT, DC=LOCAL, CN=LAPS
Admins,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL...

Bien que cela soit peu courant, nous trouvons de temps à autre des comptes sans mot de passe défini, il est donc toujours important de...

important d'énumérer les comptes avec le PASSPORT_NON_REQUIS

drapeau défini et vérifier s'ils
en effet n'ont pas de mot de passe défini. Cela pourrait se produire intentionnellement (peut-être comme un

gagne-temps) ou accidentellement si un utilisateur avec ce drapeau activé change son mot de passe via commande
ligne et appuie accidentellement sur entrer avant de taper un mot de passe. Toutes les organisations devraient
effectuer des audits de compte périodiques et retirer ce signalement de tous les comptes qui n'ont aucune validité
raison commerciale de l'avoir défini.

Essayez de créer vos propres filtres. Ce guideActive Directory : Filtres de syntaxe LDAPest
un excellent point de départ.

Correspondance récursive

Nous pouvons utiliser le " paramètre de la même manière que nous utilisons la correspondance
CorrespondanceRecursive
règle OID "1.2.840.113556.1.4.1941 . Un bon exemple de cela est de trouver tous les groupes
qu'un utilisateur AD fait partie, à la fois directement et indirectement. Cela est également connu sous le nom de "groupe imbriqué"

adhésion. Par exemple, l'utilisateur peutbob.smith

ne pas être un membre direct de la Domaine
Admins groupe mais a dérivée Droits d'administrateur de domaine parce que le groupe Sécurité
Opérations est membre de la groupe.
Administrateurs de domaine Nous pouvons le voir graphiquement par
regardant .
Utilisateurs et ordinateurs Active Directory

Nous pouvons énumérer cela avec PowerShell de plusieurs manières, l'une d'elles étant le " Obtenir

cmdlet.
Membre de groupe AD

PowerShell - Membres des opérations de sécurité

PSC:\htb>Obtenir-MembreGroupeAD -Identité "Opérations de Sécurité"

distinguishedName : CN=Harry Jones,OU=Réseau

Ops,OU=IT,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL
nom Harry Jones
classeObjet : utilisateur
identifiantObjet f6d9b03e-7056-478b-a737-6c3298d18b9d
harry.jones
SID S-1-5-21-2974783224-3764228556-2640795941-2040

Comme nous pouvons le voir ci-dessus, le

Opérations le
de sécurité groupe est en effet "imbriqué" au sein de
groupe. Par conséquent, n'importe lequel de ses membres est effectivement un administrateur de domaine.
Administrateurs de domaine

Recherche de l'appartenance d'un utilisateur à un groupe en utilisant Obtenir-ADUtilisateur

se concentrant sur la propriété
membre dene montrera pas directement ces informations.

PowerShell - Appartenance aux groupes de l'utilisateur

PSC:\htb>Obtenir-ADUtilisateur-Identité harry.jones-Propriétés*|sélectionner
membre de |ft-Envelopper

membre de
--------
{CN=Équipe Réseau,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL, CN=Aide
Bureau, OU=Sécurité de Microsoft Exchange
Groupes,DC=INLANEFREIGHT,DC=LOCAL, CN=Sécurité
Opérations,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL, CN=LAPS
Admins,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL...
Nous pouvons trouver l'appartenance à un groupe imbriqué avec la règle de correspondance OID et le CorrespondanceRécursive

paramètre, comme le montrent les exemples suivants. Le premier exemple montre un filtre AD et le
interroger de manière récursive tous les groupes auxquels l'utilisateur
CorrespondanceRécursive appartient
harry.jones est un membre
de.

PowerShell - Tous les groupes d'utilisateurs

PSC:\htb>Obtenir-GroupeAD-Filtre'membre -RécursifCorrespondre "CN=Harry

Jones,OU=Opérations Réseau,OU=TI,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL"
sélectionner le nom

nom
----
Administrateurs
Opérateurs de sauvegarde
Administrateurs de domaine

Groupe de réplication de mot de passe RODC refusé

Administrateurs LAPS

Opérations de sécurité
Service d'assistance

Équipe Réseau

Une autre façon de retourner cette même information est en utilisant un

Filtre LDAPet la correspondance
règle OID.

Requête LDAP - Tous les groupes de l'utilisateur

PSC:\htb>Obtenir-GroupeAD-FiltreLDAP
(membre:1.2.840.113556.1.4.1941:=CN=Harry Jones,OU=Réseau
Ops,OU=IT,OU=Employees,DC=INLANEFREIGHT,DC=LOCAL)'|selectNom

Nom
----
Administrateurs
Opérateurs de sauvegarde
Administrateurs de domaine

Groupe de Réplication de Mot de Passe RODC refusé

Administrateurs LAPS

Opérations de sécurité
Service d'assistance

Équipe Réseau

Comme le montrent les exemples ci-dessus, la recherche récursive dans l'AD peut nous aider à énumérer
des informations que les requêtes de recherche standard ne montrent pas. Énumérer les groupes imbriqués
L'adhésion est très importante. Nous pouvons découvrir de graves erreurs de configuration au sein de la cible.
un environnement AD qui passerait autrement inaperçu, en particulier dans les grandes organisations avec
des milliers d'objets dans AD. Nous verrons d'autres façons d'énumérer ces informations et même
façons de le présenter sous un format graphique, mais est une recherche puissante
CorrespondanceRécursive
paramètre à ne pas négliger.

Paramètres de SearchBase
Même de petits environnements Active Directory peuvent contenir des centaines, voire des milliers d'objets.
Active Directory peut se développer très rapidement à mesure que des utilisateurs, des groupes, des ordinateurs, des UOs, etc. sont ajoutés.

et les ACL sont mises en place, ce qui crée un réseau de relations de plus en plus complexe. Nous pouvons
nous nous trouvons également dans un vaste environnement, âgé de 10 à 20 ans, avec des dizaines de milliers d'objets.
Énumérer ces environnements peut devenir une tâche ingérable, nous devons donc affiner notre
recherches.

Nous pouvons améliorer les performances de nos commandes et scripts d'énumération et réduire
volume d'objets retournés en limitant nos recherches avec le " BaseDeRecherche
paramètre.
Ce paramètre spécifie un chemin Active Directory sous lequel rechercher et nous permet de commencer
recherche d'un compte utilisateur dans une OU spécifique.BaseDeRecherche
Le Le paramètre accepte un
Le nom distinctif (DN) de votre OU tel que OU=Employés,DC=INLANEFREIGHT,DC=LOCAL .

permet de définir jusqu'à quelle profondeur dans la hiérarchie des OU nous souhaitons effectuer la recherche.
" Champ de recherche
Ce paramètre a trois niveaux :

Nom Description du niveau

Base 0 . Par exemple, si nous demandons

L'objet est spécifié comme le BaseDeRecherche
pour tous les utilisateurs dans un OU définissant une portée de base, nous n'obtenons aucun résultat. Si nous
spécifiez un utilisateur ou utilisez nous obtenons juste cet utilisateur ou objet
Obtenir-ObjetAD
retourné.
Niveau 1 Recherches d'objets dans le conteneur défini par le BaseDeRecherche
mais
pas dans aucun sous-conteneur.

Sous-arbre 2 Recherches d'objets contenus par le BaseDeRechercheet tous les enfants

conteneurs, y compris leurs enfants, de manière récursive jusqu'en bas
Hiérarchie AD.

Lors de la requête AD en utilisant " nous pouvons spécifier le nom ou le numéro (c'est-à-dire,
Champ de recherche
est interprété de la même manière que
Champ de recherche Unilevel Portée ".)
de recherche 1
Dans l'exemple ci-dessus, avec la SearchBase définie sur
OU=Employés,DC=INLANEFREIGHT,DC=LOCAL, a Portée de recherche réglé surBase serait
tentative d'interroger l'objet OU ( Employés ) lui-même. A
Portée définir UnNiveau
de recherche sur serait
chercher dans le Employés OU seulement. Enfin, unChamp de découvrir
recherche serait interroger
Sous-arbre

le Employés OU et tous les OU en dessous, tels que Entrepreneurs , comptables ,

etc. UOs sous ces UOs (conteneurs enfants).

Exemples de paramètres SearchBase et Search Scope

Regardons quelques exemples pour illustrer la différence entre Base , UnNiveau , et
Pour ces exemples, nous allons nous concentrer surEmployés
Sous-arbre le OU. Dans la capture d'écran de
en
Utilisateurs et ordinateurs Active Directory dessous
Employés est le Base , et en le spécifiant
avec Obtenir-ADUtilisateur
ne retournera rien. UnNiveau renverra juste l'utilisateurAmelia Matthews ,
et Sous-arbrerenverra tous les utilisateurs dans tous les conteneurs enfants sous le
Employés conteneur.
Nous pouvons confirmer ces résultats en utilisant PowerShell. À des fins de référence, comptons
tous les utilisateurs AD sous le Employés OU, qui montre 970 utilisateurs.

PowerShell - Comptage de tous les utilisateurs AD

PSC:\htb> (Obtenir-ADUser-BaseDeRecherche

"OU=Employés,DC=INLANEFREIGHT,DC=LOCAL"-Filtre*).compte

970

Comme prévu, spécifier un SearchScope deBase ne retournera rien.

PowerShell - Portée de recherche Base

PSC:\htb>Get-ADUser-SearchBase "OU=Employés,DC=INLANEFREIGHT,DC=LOCAL"
-PortéeDeRecherche Base-Filtre*
PSC:\htb>

Cependant, si nous spécifions Base

" avec nous allons juste obtenir l'objet (Employés
Obtenir-ObjetAD
OU) est revenu vers nous.

PowerShell - Portée de recherche Base Objet OU

PSC:\htb>Get-ADObject-SearchBase
"OU=Employees,DC=INLANEFREIGHT,DC=LOCAL"-PortéeDeRecherche Base-Filtre*

NomDistingué Nom ClasseObjet

ObjectGUID
----------------- ---- ----------- ------
----
 OU=Employés,DC=INLANEFREIGHT,DC=LOCAL Unité organisationnelle des employés
34f42767-8a2e-493f-afc6-556bdc0b1087

UnNiveau En tant que SearchScope, nous obtenons un utilisateur qui nous est retourné, comme prévu.
Si nous spécifions
selon l'image ci-dessus.

PowerShell - Portée de recherche UnNiveau

PSC:\htb>Get-ADUser-SearchBase"OU=Employés,DC=INLANEFREIGHT,DC=LOCAL"
-RecherchePortée UnNiveau-Filtre*

CN=Amelia
Matthews,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL
Activé Vrai
Prénom Amélia
Nom Amelia Matthews
ClasseObjet utilisateur

ObjectGUID 3f04328f-eb2e-487c-85fe-58dd598159c0
amelia.matthews
SID S-1-5-21-2974783224-3764228556-2640795941-1412
Nom de famille Matthews
amelia.matthews@inlanefreight

Comme indiqué ci-dessus,Portée

le les valeurs sont interchangeables, donc le même résultat est
de recherche
retourné lors de la spécification 1 commePortéeDeRecherche
le valeur.

PowerShell - Champ de recherche 1

PSC:\htb>Get-ADUser-SearchBase"OU=Employés,DC=INLANEFREIGHT,DC=LOCAL"
-PortéeDeRecherche 1-Filtre*

CN=Amelia
Matthews,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL
Activé Vrai
Prénom amélia
Nom Amelia Matthews
ClasseObjet utilisateur

ObjectGUID : 3f04328f-eb2e-487c-85fe-58dd598159c0
amelia.matthews
SID S-1-5-21-2974783224-3764228556-2640795941-1412
Nom de famille Matthews
amelia.matthews@inlanefreight
Enfin, si nous spécifions en tant que SearchBase, nous allons obtenir tous les objets dans tous les enfants
Sous-arbre
conteneurs, ce qui correspond au nombre d'utilisateurs que nous avons établi ci-dessus.

PowerShell - Champ de recherche Sous-arbre

PSC:\htb> (Obtenir-ADUser-BaseDeRecherche
"OU=Employees,DC=INLANEFREIGHT,DC=LOCAL"-PortéeDeRecherche Sous-arbre-Filtre
*.compte

970

Conclusion
Cette section, ainsi que la section sur les filtres PowerShell, couvre les nombreuses façons dont nous pouvons utiliser

filtres de recherche combinés avec les cmdlets AD intégrés pour améliorer notre énumération en "vivant de"
terre." Dans les sections suivantes, nous aborderons des outils qui rendent l'énumération beaucoup plus rapide et facile.

et être combiné avec des filtres pour être encore plus puissant. Peu importe si nous utilisons des outils intégrés
outils, scripts personnalisés ou outils tiers, il est important de comprendre ce qu'ils font
et pour pouvoir comprendre et utiliser le résultat de notre énumération pour nous aider à atteindre notre
objectif.

Remarque : Lorsque vous générez votre cible, nous vous demandons d'attendre 3 minutes jusqu'à ce que tout le laboratoire avec

toutes les configurations sont mises en place afin que la connexion à votre cible fonctionne parfaitement.

Énumération de l'Active Directory avec des outils intégrés

Une énumération adéquate est essentielle pour tous les tests de pénétration et les évaluations de red teaming.
Énumérer AD, en particulier dans les grands environnements d'entreprise avec de nombreux hôtes, utilisateurs, et

les services peuvent être une tâche assez décourageante et fournir une quantité écrasante de données. Plusieurs
Les outils intégrés de Windows peuvent être utilisés par les administrateurs système et les testeurs de pénétration pour énumérer AD. Ouvrir

Des outils source ont été créés sur la base des mêmes techniques d'énumération. Beaucoup de ceux-ci
des outils (tels que SharpView, BloodHound et PingCastle) peuvent être utilisés pour accélérer le
processus d'énumération et présentation précise des données de manière consommable et actionable
Format. La connaissance de plusieurs outils et "offense en profondeur" est importante si vous devez vivre de
Des évaluations ou détections sont en place pour certains outils.

Attributs de contrôle de compte utilisateur (UAC)

Les attributs de contrôle de compte utilisateur régissent le comportement des comptes de domaine. Ces valeurs sont
à ne pas confondre avec la technologie Contrôle de Compte Utilisateur de Windows. Beaucoup de ces UAC
les attributs ont une pertinence en matière de sécurité :

Nous pouvons énumérer ces valeurs avec des cmdlets AD intégrés :

PowerShell - Cmdlets AD intégrés

PSC:\htb>Get-ADUser-Filtrer{adminCount-gt0}-Propriétés
compte admin

Nom contrôle du compte utilisateur

---- ------------------
Administrateur 66048
krbtgt 66050
daniel.carter 512
sqlqa 512
svc-sauvegarde 66048
svc-secops 66048
cliff.moore 66048
svc-ata 512
svc-sccm 512
mrb3n 512
sarah.lafferty 512
Jenna Smith 4260384
Harry Jones 66080
pixis 512
Cry0l1t3 512
 cauchemar 512

Nous devons encore convertircontrôle

le de compte valeurs dans leurs drapeaux correspondants à
utilisateur
interprétez-les. Cela peut être fait avec ceciscriptPrenons l'utilisateur Jenna Smith avec
contrôle de compte valeur 4260384 comme exemple.
utilisateur

PowerShell - Valeurs UAC

PSC:\htb> .\Convert-UserAccountControlValues.ps1

Veuillez fournir la valeur userAccountControl : 4260384

Nom Valeur
---- -----
PASSED_NONEXIGÉ 32
COMPTE_NORMAL 512
NE PAS EXPIRER LE MOT DE PASSE 65536
NE_REQ_PREAUT 4194304

Nous pouvons également utiliserPowerView(qui sera traité en profondeur dans les modules suivants) à
énumérez ces valeurs. Nous pouvons voir que certains des utilisateurs correspondent à la valeur par défaut de 512

ou Compte_Normal tandis que d'autres devraient être convertis. La valeur pour jenna.smith
correspond à ce que notre script de conversion a fourni.

PowerView peut être situé dans le répertoire

c:\outilssur l'hôte cible. Pour charger l'outil,
ouvrez une console PowerShell, naviguez vers le répertoire des outils et importezPowerView utilisant le
commandeImporter .
le module .\PowerView.ps1

PowerView - Comptes de domaine

PSC:\htb>Obtenir-UtilisateurDomaine* -CompteAdmin | sélectionner

nomd'utilisateur

nomdutilisateursam
contrôle du compte utilisateur
-------------- -------
-----------
Administrateur COMPTE_NORMAL
NE PAS EXPIRER LE MOT DE PASSE
krbtgt COMPTE_DÉSActivé
NE_EXPIRE_PAS_LE_MOT_DE_PASSE
daniel.carter
COMPTE_NORMAL
sqlqa
COMPTE_NORMAL
 svc-sauvegarde COMPTE_NORMAL
NEPAS_EXPIRER_MOT_DE_PASSE
svc-secops COMPTE_NORMAL
NE_CHANGER_PAS_MOT_DE_PASSE
cliff.moore COMPTE_NORMAL
NEPASEXPIRERLEMDP
svc-ata
COMPTE_NORMAL
svc-sccm
COMPTE_NORMAL
mrb3n
COMPTE_NORMAL
sarah.lafferty
COMPTE_NORMAL
jenna.smith MOT_DE_PASSE_NON_REQUIS, COMPTE_NORMAL, NE_PAS_EXPIRER_MOT_DE_PASSE
NE_REQUIERT_PAS_PREAUTORISATION
harry.jones PAS_DE_MDP_REQUIS
NE_JAMAIS_EXPIRER_MOT_DE_PASSE
pixis
COMPTE_NORMAL
Cry0l1t3
COMPTE_NORMAL
cauchemar de chevalier
COMPTE_NORMAL

Énumération à l'aide des outils intégrés

Des outils que les administrateurs système sont eux-mêmes susceptibles d'utiliser, comme le moduleAD PowerShell, le
La suite Sysinternals et les outils DSTools d'AD seront probablement surliste blanc et passeront inaperçus.
en particulier dans des environnements plus matures. Plusieurs outils intégrés peuvent être utilisés pour AD

énumération, y compris :

Outils DSest disponible par défaut sur tous les systèmes d'exploitation Windows modernes mais requis
connectivité de domaine pour effectuer des activités d'énumération.

Outils DS

C:\htb> dsquery utilisateur "OU=Employés,DC=inlanefreight,DC=local" -nom * -

scope subtree -limit 0 | dsget user -samid -
pwdneverexpires | findstr /V non

samid motdepassejamaisexpiré
svc-sauvegarde oui
analyse svc oui
 svc-secops oui
test-sql oui
cliff.moore oui
margaret.harris oui

<SNIP>

dsget réussi

Le Module Active Directory PowerShell est un groupe de cmdlets utilisées pour gérer Active
Répertoire. L'installation du module AD PowerShell nécessite un accès administratif.

Module AD PowerShell

PSC:\htb>Obtenir-ADUtilisateur-Filtrer* -BaseDeRecherche

'OU=Admin,DC=inlanefreight,dc=local'

CN=wilford.stewart,OU=Admin,DC=INLANEFREIGHT,DC=LOCAL
Activé Vrai
Prénom :
Nom wilford.stewart
ClasseObjet : utilisateur
ObjectGUID 1f54c02c-2fb4-48b6-a89c-38b6b0c54147
wilford.stewart
SID S-1-5-21-2974783224-3764228556-2640795941-2121
Nom de famille :
UserPrincipalName

CN=trisha.duran,OU=Admin,DC=INLANEFREIGHT,DC=LOCAL
Activé Vrai
Prénom :
Nom trisha.duran
ClasseObjet utilisateur
ObjectGUID 7a8db2bb-7b24-4f79-a3fe-7b49408bc7bf
trisha.duran
SID S-1-5-21-2974783224-3764228556-2640795941-2122
Nom de famille :
UserPrincipalName

<SNIP>

Instrumentation de gestion Windows (WMI) peut également être utilisé pour accéder et interroger
objets dans Active Directory. De nombreux langages de script peuvent interagir avec le fournisseur WMI AD,
mais PowerShell rend cela très facile.

Instrumentation de gestion Windows (WMI)

PSC:\htb>Get-WmiObject-Classwin32_group-Filter
INLANEFREIGHT

Légende Nom
------- ----
INLANEFREIGHT\Éditeurs Cert Éditeurs Cert
SERVEURS INLANEFREIGHT\RAS et IAS Serveurs RAS et IAS
GROUPE DE RÉPLICATION DE MOT DE PASSE RODC AUTORISÉ INLANEFREIGHT\
Groupe de réplication de mot de passe

INLANEFREIGHT\Mot de passe RODC refusé Groupe de réplication Mot de passe RODC refusé
GroupeDeRéplication
INLANEFREIGHT\DnsAdmins DnsAdmins
INLANEFREIGHT\$6I2000-MBUUOKUK1E1O $6I2000-MBUUOKUK1E1O
INLANEFREIGHT\Contrôleurs de domaine clonables Domaine clonable
Contrôleurs
INLANEFREIGHT\Gestion de la Conformité Conformité
Gestion
INLANEFREIGHT"Configuration déléguée" Configuration déléguée

INLANEFREIGHT\Gestion de la découverte Gestion de la découverte

INLANEFREIGHT\DnsUpdateProxy ProxyMiseÀJourDns
INLANEFREIGHT\Administrateurs de domaine Administrateurs de domaine

INLANEFREIGHT\Ordinateurs Domestiques Ordinateurs de domaine

INLANEFREIGHT\\Contrôleurs de domaine Contrôleurs de domaine
INLANEFREIGHT\Domain Invités Invités de domaine
INLANEFREIGHT" Utilisateurs de domaine

INLANEFREIGHT\Administrateurs d'entreprise Administrateurs d'entreprise

INLANEFREIGHT\Administrateurs Clés de l'Entreprise Clé d'entreprise

Administrateurs
INLANEFREIGHT\Contrôleurs de Domaine en Lecture Seule d'Entreprise Lecture Seule d'Entreprise

Contrôleurs de domaine
SERVEURS D'ÉCHANGE INLANEFREIGHT Serveurs Exchange
INLANEFREIGHT\Sous-système de confiance Exchange Échange de confiance
Sous-système
INLANEFREIGHT\Échanger les autorisations Windows Échange Windows
Autorisations
INLANEFREIGHT\ÉchangeInteropHéritage
InteropérabilitéLegacyExchange
Créateur
INLANEFREIGHT\Créateur de Politique de Groupe Propriétaires de stratégie de groupe

Propriétaires
INLANEFREIGHT\Service d'assistance Service d'assistance

INLANEFREIGHT\Gestion de l'hygiène Gestion de l'hygiène

INLANEFREIGHT\Administrateurs clés Administrateurs clés

INLANEFREIGHT\Admins LAPS Administrateurs LAPS

INLANEFREIGHT\Serveurs de disponibilité gérés Disponibilité gérée

Serveurs
INLANEFREIGHT\Gestion d'organisation Organisation
Gestion
INLANEFREIGHT\Utilisateurs protégés Utilisateurs protégés
 <SNIP>

(ADSI) est un ensemble d'interfaces COM qui peuvent interroger

Interfaces de services Active Directory
Active Directory. PowerShell offre encore une façon facile d'interagir avec lui.

Interfaces de Service AD (ADSI)

PSC:\htb> ([adsisearcher]"(&(objectClass=Computer))").FindAll() |select

Chemin

Chemin
----
LDAP://CN=DC01,OU=Contrôleurs de Domaine,DC=INLANEFREIGHT,DC=LOCAL
LDAP://CN=EXCHG01,OU=Serveurs de messagerie,OU=Serveurs,DC=INLANEFREIGHT,DC=LOCAL
LDAP://CN=SQL01,OU=Serveurs SQL,OU=Serveurs,DC=INLANEFREIGHT,DC=LOCAL
LDAP://CN=WS01,OU=Personnel
Stations de travail, OU=Stations de travail, DC=INLANEFREIGHT, DC=LOCAL
LDAP://CN=DC02,OU=Serveurs,DC=INLANEFREIGHT,DC=LOCAL

Remarque : Lorsque vous générez votre cible, nous vous demandons d'attendre 3 minutes jusqu'à ce que tout le laboratoire soit

toutes les configurations sont mises en place afin que la connexion à votre cible fonctionne parfaitement.

Lien anonyme LDAP

Le protocole d'accès léger aux annuaires (LDAP) est un protocole utilisé pour accéder à
services d'annuaire.

Tirer parti de la liaison anonyme LDAP

Les liaisons anonymes LDAP permettent aux attaquants non authentifiés de récupérer des informations de la
domaine, tel qu'une liste complète des utilisateurs, des groupes, des ordinateurs, des attributs des comptes d'utilisateur, et le

politique de mot de passe de domaine. Hôtes Linux exécutant des versions open-source de LDAP et Linux
Les appareils vCenter sont souvent configurés pour permettre des liaisons anonymes.

Lorsqu'un serveur LDAP permet des liaisons anonymes à la base, un attaquant n'a pas besoin de connaître un
objet de base pour interroger une quantité considérable d'informations dans le domaine. Cela peut également être
exploité pour mener une attaque par pulvérisation de mots de passe ou lire des informations telles que des mots de passe

stocké dans les champs de description de compte. Outils tels querecherche windapetldapsearchpeut être
utilisé pour énumérer les informations de domaine via un bind LDAP anonyme. Informations que nous
obtenu d'un bind LDAP anonyme peut être utilisé pour mener une attaque par pulvérisation de mots de passe ou
Attaque AS-REPRoasting, lire des informations telles que les mots de passe stockés dans la description du compte

champs.
Nous pouvons utiliser
Python pour vérifier rapidement si nous pouvons interagir avec LDAP sans identifiants.

Python3.8.5 (par défaut, 2 août 2020, 15:09:07)

[GCC10.2.0] sur linux
Tapez "aide", "droit d'auteur", "crédits" ou "licence" pour plus d'informations.

>>>fromldap3import*
>>>s=Serveur('10.129.1.207', obtenir_info=TOUT)
>>>c=Connexion(s,'','')
>>>c.lier()
Vrai
>>>s.info
info DSA (de DSE)
Versions LDAP prises en charge : 3, 2
Contexte de nomination :

DC=INLANEFREIGHT,DC=LOCAL
CN=Configuration,DC=INLANEFREIGHT,DC=LOCAL
CN=Schéma,CN=Configuration,DC=INLANEFREIGHT,DC=LOCAL
DC=DomainDnsZones,DC=INLANEFREIGHT,DC=LOCAL
DC=ForestDnsZones,DC=INLANEFREIGHT,DC=LOCAL
Contrôles pris en charge :

<SNIP>

dnsHostName
DC01.INLANEFREIGHT.LOCAL
ldapServiceName
INLANEFREIGHT.LOCAL:[email protected]
serverName
CN=DC01,CN=Serveurs,CN=Site-Par-Défaut-Initial
Nom,CN=Sites,CN=Configuration,DC=INLANEFREIGHT,DC=LOCAL
estSynchronisé
VRAI
isGlobalCatalogReady
VRAI
fonctionnalitéDuDomaine
7
fonctionnalitéForestière
7
fonctionnalitéDuContrôleurDeDomaine
7

Utiliser Ldapsearch
Nous pouvons confirmer une liaison LDAP anonyme avecldapsearch et récupérer tous les objets AD de
LDAP.
 ldapsearch -H ldap://10.129.1.207 -x -b"dc=inlanefreight,dc=local"
# LDIF étendu
#
LDAPv3
# base <dc=inlanefreight,dc=local> avec portée sous-arbre
# filtre : (objectclass=*)
tous
#

# INLANEFREIGHT.LOCAL
dn:DC=INLANEFREIGHT,DC=LOCAL
classeObjet:top
classeObjet: domaine
objectClass: domainDNS
DC=INLANEFREIGHT,DC=LOCAL
5
2020-07-26T20:13:43.0Z
2020-08-27T02:53:41.0Z
DC=LOGISTIQUE,DC=FRETTERRE,DC=LOCAL
DC=ForestDnsZones,DC=INLANEFREIGHT,DC=LOCAL
DC=DomainDnsZones,DC=INLANEFREIGHT,DC=LOCAL
CN=Configuration,DC=INLANEFREIGHT,DC=LOCAL

Utiliser Windapsearch
Windapsearch est un script Python utilisé pour effectuer des opérations LDAP anonymes et authentifiées
énumération des utilisateurs, groupes et ordinateurs AD à l'aide de requêtes LDAP. C'est une alternative à
des outils tels queldapsearch , ce qui vous oblige à élaborer des requêtes LDAP personnalisées. Nous pouvons l'utiliser.
pour confirmer l'authentification de session NULL LDAP en fournissant un nom d'utilisateur vide avec -u ""
et ajouter --fonctionnalitépour confirmer le niveau fonctionnel du domaine.

python3 windapsearch.py --dc-ip10.129.1.207 -u""--functionnalité

[+] Aucun nom d'utilisateur fourni. Tentera une liaison anonyme.
[+] Utilisation du contrôleur de domaine à : 10.129.1.207
[+] Obtention du defaultNamingContext à partir de Root DSE

[+] Trouvé : DC=INLANEFREIGHT,DC=LOCAL

[+] Niveaux de fonctionnalité :
[+] fonctionnalité de domaine : 2016

[+] fonctionnalitéForestière
[+] 2016
[+] Tentative de liaison
[+] ...succès! Lié comme :
[+] Aucun

Au revoir !
Nous pouvons extraire une liste de tous les utilisateurs de domaine à utiliser dans une attaque par pulvérisation de mots de passe.

python3 windapsearch.py --dc-ip10.129.1.207 -u""-U

[+] Aucun nom d'utilisateur fourni. Tentera une liaison anonyme.
[+] Utilisation du contrôleur de domaine à :10.129.1.207
[+] Obtention du defaultNamingContext à partir de Root DSE

[+] Trouvé : DC=INLANEFREIGHT, DC=LOCAL

[+] Tentative de liaison
[+] ...succès ! Lié en tant que :
[+] Aucun

[+] Énumération de tous les utilisateurs AD

[+] Trouvé 1024 utilisateurs :

Invité
Compte par défaut
LOGISTIQUE$
développeur SQL

sqlprod
cn: svc-scan

<SNIP>

Nous pouvons obtenir des informations sur tous les ordinateurs du domaine.

python3 windapsearch.py --dc-ip10.129.1.207 -u""-C

[+] Aucun nom d'utilisateur fourni. Tentera une liaison anonyme.
[+] Utilisation du contrôleur de domaine à : 10.129.1.207
[+] Obtention du defaultNamingContext à partir du Root DSE

[+] Trouvé : DC=INLANEFREIGHT,DC=LOCAL

[+] Tentative de liaison
[+] ...succès ! Lié comme :
[+] Aucun

[+] Énumération de tous les ordinateurs AD

[+] Trouvé 5 ordinateurs :

DC01
Windows Server 2016 Standard
10.0(14393)
DC01.INLANEFREIGHT.LOCAL

cn: EXCHG01
Windows Server 2016 Standard
10.0(14393)
EXCHG01.INLANEFREIGHT.LOCAL
 cn: SQL01
Windows Server 2016 Standard
10.0(14393)
SQL01.INLANEFREIGHT.LOCAL

WS01
Windows Server 2016 Standard
10.0(14393)
WS01.INLANEFREIGHT.LOCAL

cn : DC02
DC02.INLANEFREIGHT.LOCAL

Au revoir!

Ce processus peut être répété pour obtenir des informations sur le groupe et des informations plus détaillées telles que
en tant qu'utilisateurs et ordinateurs sans contrainte, informations GPO, attributs des utilisateurs et des ordinateurs, et

plus.

Autres outils
Il existe de nombreux autres outils et scripts d'aide pour récupérer des informations à partir de LDAP.
scriptldapsearch-ad.pyest similaire àrecherche windap
.

python3 ldapsearch-ad.py -h
usage: ldapsearch-ad.py [-h] -l SERVEUR_LDAP [-ssl] -t TYPE_DE_DEMANDE [-d
[DOMAINE] [-u NOM_UTILISATEUR] [-p MOT_DE_PASSE]
[-s FILTRE_DE_RECHERCHE] [-z LIMITE_DE_TAILLE] [-o
[FICHIER_DE_SORTIE] [-v]

[search_attributes [search_attributes ...]]

Énumérateur LDAP Active Directory

arguments positionnels :
rechercher_attributs Attributs LDAP à rechercher (par défaut, tous).

arguments optionnels :
-h, --aide afficher ce message d'aide et quitter

-l SERVEUR_LDAP, --serveur SERVEUR_LDAP

Adresse IP du serveur LDAP.
-ssl Forcer une connexion SSL ?
-t TYPE_DE_DEMANDE, --type TYPE_DE_DEMANDE
info, qui suis-je, recherche, recherche-large
trusts, pass-pols, show-admins
afficher-utilisateur
 -d DOMAINE, --domaine DOMAINE
Nom de domaine complet du compte d'authentification. Exemple :

contoso.local
-u NOM_UTILISATEUR, --nom_utilisateur NOM_UTILISATEUR

Nom d'utilisateur du compte d'authentification.

-p MOTDEPASS, --motdepasse MOTDEPASS

Mot de passe du compte d'authentification.
-s FILTRE_DE_RECHERCHE, --filtres-de-recherche FILTRE_DE_RECHERCHE

Filtre de recherche (utiliser le format LDAP).

-z TAILLE_LIMIT, --taille_limite TAILLE_LIMIT

Limite de taille (par défaut 100, ou limite propre au serveur).
-o FICHIER_DE_SORTIE, --sortie FICHIER_DE_SORTIE
Écrivez les résultats dans un fichier spécifié également.

-v Activez le mode débogage

Nous pouvons l'utiliser pour extraire des informations de domaine et confirmer un liaison NULL. Cet outil particulier
nécessite des identifiants de l'utilisateur de domaine valides pour effectuer une énumération supplémentaire.

python3 ldapsearch-ad.py -l10.129.1.207 -t info

### Informations sur le serveur ###

[+] Niveau de fonctionnalité de la forêt=Windows2016

[+] Niveau de fonctionnalité du domaine=Windows2016
[+] Niveau de fonctionnalité du contrôleur de domaine=Windows2016
DC=INLANEFREIGHT,DC=LOCAL
DC=INLANEFREIGHT,DC=LOCAL
INLANEFREIGHT.LOCAL:[email protected]
[+] naming_contexts=['DC=INLANEFREIGHT,DC=LOCAL',
'CN=Configuration,DC=INLANEFREIGHT,DC=LOCAL'
'CN=Schéma,CN=Configuration,DC=INLANEFREIGHT,DC=LOCAL'
'DC=DomainDnsZones,DC=INLANEFREIGHT,DC=LOCAL'
DC=ForestDnsZones,DC=INLANEFREIGHT,DC=LOCAL

Remarque : Les outils nécessaires pour compléter cette section peuvent être trouvés dans le répertoire `/opt`.
Pwnbox.

Remarque : Lorsque vous générez votre cible, nous vous demandons d'attendre 3 minutes jusqu'à ce que tout le laboratoire avec

toutes les configurations sont mises en place afin que la connexion à votre cible fonctionne à merveille.

Énumération LDAP avec des identifiants

Comme avec SMB, une fois que nous avons des informations d'identification de domaine, nous pouvons extraire une grande variété d'informations.

depuis LDAP, y compris les informations sur les utilisateurs, les groupes, les ordinateurs, la confiance, les GPO, la politique de mot de passe du domaine,

etc. ldapsearch-ad.py et windapsearch sont utiles pour effectuer cette énumération.

Windapsearch
python3 windapsearch.py --dc-ip10.129.1.207 -u inlanefreight\james.cross
--da

Motdepassepourletransportterrestre\james.cross :

[+] Utilisation du contrôleur de domaine à :10.129.1.207

[+] Obtention du defaultNamingContext depuis Root DSE
[+] Trouvé : DC=INLANEFREIGHT,DC=LOCAL
[+] Tentative de liaison
[+] ...succès ! Lié comme :
[+] u:INLANEFREIGHT\james.cross
[+] Tentative d'énumérer tous les administrateurs de domaine
[+] Utilisation de DN:CN=Administrateurs de domaine,CN=Utilisateurs.CN=Domaine

Admins,CN=Users,DC=INLANEFREIGHT,DC=LOCAL
[+] Adminstateurs de domaine trouvés :

administrateur
[email protected]

daniel.carter
sqlqa
svc-sauvegarde
cn : svc-secops
cliff.moore
cn : svc-ata
cn: svc-sccm
mrb3n
sarah.lafferty

Harry Jones
harry.jones@inlanefreight

pixis
Cry0l1t3
cauchemar

[+] Utilisation de DN:CN=Administrateurs de domaine,CN=Utilisateurs.CN=Domaine

Admins,CN=Utilisateurs,DC=INLANEFREIGHT,DC=LOCAL
[+] Trouvé 14 Administrateurs de Domaine :

Administrateur
[email protected]

daniel.carter
sqlqa
cn: svc-backup
cn : svc-secops
 <SNIP>

Quelques options supplémentaires utiles, y compris le tirage au sort des utilisateurs et des ordinateurs sans contrainte

délégation.

python3 windapsearch.py --dc-ip10.129.1.207 -d inlanefreight.local -u

inlanefreight\james.cross --utilisateurs non contraints

Motdepassepourletransportterrestre\james.cross:

[+] Utilisation du contrôleur de domaine à :10.129.1.207

[+] Obtention de defaultNamingContext depuis le Root DSE
[+] Trouvé : DC=INLANEFREIGHT,DC=LOCAL
[+] Tentative de liaison
[+] ...succès ! Lié en tant que :
[+] u:INLANEFREIGHT\james.cross
[+] Tentative d'énumérer tous les objets utilisateurs avec délégation non contrainte
[+] Trouvé 1 utilisateur avec délégation non limitée :

CN=sqldev,OU=Comptes de service,OU=IT,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL

Au revoir !

Ldapsearch-ad
Cet outil peut effectuer toutes les énumérations standard et quelques recherches intégrées pour simplifier
les choses. Nous pouvons rapidement obtenir la politique de mot de passe.

python3 ldapsearch-ad.py -l10.129.1.207 -d inlanefreight -u james.cross -

p Été2020 -t passer-pols

Résultat de la commande "pass-pols"

Politique de mot de passe par défaut :

[+]|___Longueur minimale du mot de passe=7

+
[*]|___Seuil de verrouillage=Désactivé
[+] Aucun règlement de mot de passe détaillé trouvé (des privilèges élevés sont requis).

Nous pouvons rechercher des utilisateurs qui pourraient être soumis à une attaque de Kerberoasting.
 python3 ldapsearch-ad.py -l10.129.1.207 -d inlanefreight -u james.cross -
p Été2020 -t kerberoast|grepservicePrincipalName:

CIFS/roguecomputer.inlanefreight.local
MSSQLSvc/sql01:1433
MSSQL_svc_qa/inlanefreight.local:1443
MSSQL_svc_test/inlanefreight.local:1443
IIS_dev/inlanefreight.local:80

De plus, il récupère rapidement les utilisateurs pouvant être ASREPRoastés.

python3 ldapsearch-ad.py -l10.129.1.207 -d inlanefreight -u james.cross -

p Été2020 -t asreproast

Résultat de la commande "asreproast"

[*] DN:CN=Amber
Smith,OU=Contracteurs,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL - STATUT : Lu
2020-09-02T17:11:45.572421
Amber Smith
amber.smith

[*] DN:CN=Jenna Smith,OU=Serveur

Équipe,OU=IT,OU=Employés,DC=INLANEFREIGHT,DC=LOCAL - STATUT : Lire - LUS
2020-09-02T17:11:45.572729
Jenna Smith
jenna.smith

Résumé LDAP
Nous pouvons utiliser des outils tels que les deux montrés dans cette section pour effectuer une quantité considérable de
Énumération AD à l'aide de LDAP. Les outils disposent de nombreuses requêtes intégrées pour simplifier la recherche et

fournissez-nous les données les plus utiles et actionnables. Nous pouvons également combiner ces outils avec
les filtres de recherche LDAP personnalisés que nous avons appris plus tôt dans le module. Ils sont formidables
outils à garder dans notre arsenal, surtout lorsque nous sommes dans une position où la plupart d'un AD
l'évaluation doit être effectuée depuis une boîte d'attaque Linux.

Remarque : Lorsque vous créez votre cible, nous vous demandons d'attendre 3 minutes jusqu'à ce que tout le laboratoire avec

toutes les configurations sont mises en place afin que la connexion à votre cible fonctionne parfaitement.

Évaluation des compétences LDAPActive Directory

Vous avez été engagé par le INLANEFREIGHT organisation pour réaliser un Actif
Évaluation de la sécurité des annuaires pour évaluer les failles existantes qui pourraient être potentiellement exploitées

par un attaquant qui obtient un accès au réseau interne avec un compte d'utilisateur de domaine standard.

Connectez-vous à l'hôte cible et effectuez les tâches d'énumération répertoriées ci-dessous pour compléter cela.

module.

Remarque : Lorsque vous générez votre cible, nous vous demandons d'attendre 3 minutes jusqu'à ce que tout le laboratoire avec

toutes les configurations sont mises en place afin que la connexion à votre cible fonctionne parfaitement.