Active Directory - Fase 2: Exploração
Objetivo
Validar elevação de privilégio em AD por abuso de configuração, permissões e identidade, com PoC mínima e impacto mensurável.
Checklist Operacional
- Confirmar pré-condição técnica do vetor em objeto AD específico.
- Executar técnica com menor ruído e máxima rastreabilidade.
- Comprovar ganho de privilégio/controle sobre objeto crítico.
- Mapear consequência direta para contas e ativos Tier-0.
Comandos e Fluxos de Exploração
terminal
# Contexto de tickets e identidade
whoami
klist
# Enumerar ACLs e objetos críticos (PowerShell AD)
Get-ADOrganizationalUnit -Filter * | Select-Object -First 20
Get-ADGroup -Filter * -Properties ManagedBy | Select-Object -First 20
# Exemplo de validação de membership privilegiado
net group "Domain Admins" /domain
# Consulta LDAP para atributos sensíveis (somente escopo autorizado)
Get-ADUser -Filter * -Properties servicePrincipalName,adminCount,lastLogonDate | Select-Object -First 30Bypass e Abusos Comuns
- Delegação excessiva em OUs e grupos administrativos.
- ACL permissiva em objetos críticos permitindo alteração indireta de privilégio.
- Governança fraca de contas de serviço e SPNs sensíveis.
- Mudanças em GPO sem trilha de aprovação e monitoramento efetivo.
Validação e Evidência
- Registrar estado antes/depois do objeto AD explorado.
- Vincular técnica ao controle específico ausente (ACL, delegação, política).
- Mensurar impacto em confidencialidade, integridade e disponibilidade operacional.
Mitigação e Detecção
- Endurecer ACL e delegação em objetos administrativos críticos.
- Restringir contas de serviço e revisar SPNs com política de ciclo de vida.
- Auditar alterações de grupos privilegiados e atributos sensíveis em tempo quase real.