Red Team

1. Introduction Active Directory (AD) reste, en 2026, le pilier de l’authentification et de l’autorisation dans la majorité des entreprises. Au cœur de cette infrastructure, les Group Policy Objects (GPO) offrent aux administrateurs un mécanisme centralisé pour pousser des configurations à des milliers de machines en quelques minutes : déploiement logiciel, scripts de démarrage, paramètres de sécurité, tâches planifiées, modifications de registre, etc. Cette puissance fait des GPO un vecteur d’attaque redoutable. Une seule délégation mal configurée , un héritage de helpdesk, un oubli post-migration, un script legacy peut transformer un compte utilisateur sans aucun privilège apparent en **Domain Admin **. Pire encore : l’attaque se déroule via des mécanismes natifs et légitimes du système, ce qui rend la détection extrêmement difficile sans une instrumentation adéquate. ...

Une vue d’ensemble structurée des prérequis et méthodologies à maîtriser avant de réaliser un test d’intrusion.

Qu’est-ce que DCSync ? DCSync est une technique d’attaque post-exploitation qui permet à un attaquant de récupérer les hashes de mots de passe (NTLM, Kerberos keys, historiques) de n’importe quel compte d’un domaine Active Directory — y compris le compte ultime : krbtgt — sans jamais exécuter de code sur un contrôleur de domaine. L’attaque a été popularisée par Benjamin Delpy (auteur de Mimikatz) et Vincent Le Toux en 2015. Son originalité : elle ne nécessite aucun accès physique ou RDP sur le DC. L’attaquant se fait passer pour un contrôleur de domaine légitime et demande une réplication.

Une vue d’ensemble structurée des prérequis et méthodologies à maîtriser avant de réaliser un test d’intrusion.

📁 1. Domaine et Forêts 🔍 Obtenir le domaine actuel Get-Domain # PowerView Get-ADDomain # Module ActiveDirectory 🌐 Interroger un autre domaine Get-Domain -Domain example.local Get-ADDomain -Identity example.local 🆔 Récupérer le SID du domaine Get-DomainSID (Get-ADDomain).DomainSID 🖥️ Récupérer les contrôleurs de domaine Get-DomainController Get-ADDomainController 🤝 Obtenir les relations d’approbation (trusts) Get-DomainTrust Get-ADTrust 🌲 Informations sur la forêt Get-Forest Get-ADForest 📜 Lister tous les domaines d’une forêt Get-ForestDomain (Get-ADForest).Domains 🗺️ Cartographier les fiducies d’une forêt Get-ForestTrust Get-ADTrust -Filter 'ms-DS-TrustForestTrustInfo -ne "$null"' 👤 2. Utilisateurs 👥 Liste des utilisateurs Get-DomainUser Get-ADUser -Filter * -Properties * 🔍 Détails d’un utilisateur spécifique Get-DomainUser -Identity user1 -Properties * Get-ADUser -Identity user1 -Properties * 🔄 Propriétés utiles Get-ADUser -Filter * -Properties * | select -First 1 | Get-Member -MemberType *Property | select Name 👑 Membres du groupe « Enterprise Admins » Get-DomainGroupMember -Identity "Enterprise Admins" -Recurse 🖥️ Groupes locaux d’une machine (privilèges requis) Get-NetLocalGroup -ComputerName dcorp-dc Get-NetLocalGroup -ComputerName dcorp-dc -GroupName Administrators 🔎 Recherche d’accès administrateur local Find-LocalAdminAccess -Verbose 🔐 Comptes dont le mot de passe n’expire jamais Get-ADUser -Filter {PasswordNeverExpires -eq $true} 🎭 Comptes avec délégation Kerberos activée Get-ADUser -Filter {TrustedForDelegation -eq $true -or TrustedToAuthForDelegation -eq $true} 🧾 Droits de l’utilisateur actuel whoami /priv 👪 3. Groupes 📋 Lister les groupes Get-DomainGroup Get-ADGroup -Filter * -Properties * 🔍 Rechercher des groupes contenant “admin” Get-DomainGroup *admin* Get-ADGroup -Filter 'Name -Like "*admin*"' 👑 Membres « Domain Admins » Get-DomainGroupMember -Identity "Domain Admins" -Recurse 🖥️ 4. Machines & Serveurs 📜 Liste des ordinateurs Get-DomainComputer Get-ADComputer -Filter * -Properties * 🔍 Recherche spécifique (ex. Server 2022) Get-DomainComputer -OperatingSystem "*Server 2022*" 📡 Test de connectivité Get-ADComputer -Filter * -Properties DNSHostName | % { Test-Connection -Count 1 -ComputerName $_.DNSHostName } 👁️ Localisation des sessions d’un utilisateur Find-DomainUserLocation -UserGroupIdentity "RDPUsers" 🔐 5. ACL et Permissions 🔍 Obtenir les ACL d’un objet Get-DomainObjectAcl -SamAccountName user1 -ResolveGUIDs 🧠 Rechercher des ACE intéressants Find-InterestingDomainAcl -ResolveGUIDs 📂 ACL sur un chemin spécifique Get-PathAcl -Path "\\dcorp-dc.dollarcorp.moneycorp.local\sysvol" 📂 6. Autres Techniques 📂 Découverte de serveurs de fichiers Get-NetFileServer 📚 Ressources utiles PowerView Documentation (PowerSploit) Cmdlets Active Directory Microsoft