Compétences active-directory-attacks
🛡️

active-directory-attacks

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Exécuter des tests d'intrusion Active Directory et des évaluations red team

Les équipes de sécurité ont besoin d'une documentation complète pour les évaluations Active Directory autorisées. Cette compétence fournit des techniques d'attaque documentées et des commandes d'outils pour les testeurs d'intrusion menant des opérations red team.

Prend en charge: Claude Codex Code(CC)
⚠️ 67 Médiocre
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "active-directory-attacks". Montrez-moi les commandes Kerberoasting pour le domaine example.local

Résultat attendu:

  • Utilisation d'Impacket depuis Linux : GetUserSPNs.py example.local/user:password -dc-ip 10.10.10.10 -request -outputfile hashes.txt
  • Utilisation de Rubeus depuis Windows : .\Rubeus.exe kerberoast /outfile:hashes.txt
  • Crack avec hashcat : hashcat -m 13100 hashes.txt rockyou.txt

Utilisation de "active-directory-attacks". Comment effectuer une attaque DCSync ?

Résultat attendu:

  • DCSync nécessite les droits Replicating Directory Changes. Utilisation d'Impacket : secretsdump.py example.local/admin:password@10.10.10.10 -just-dc
  • Utilisation de Mimikatz : lsadump::dcsync /domain:example.local /user:krbtgt
  • Ceci extrait tous les hashs de mot de passe du domaine incluant krbtgt pour la création de Golden Ticket

Audit de sécurité

Risque faible
v1 • 2/24/2026

This skill contains documentation and reference material for Active Directory penetration testing techniques. Static analysis flagged 200+ patterns (PowerShell commands, tool references, IP addresses) but all are FALSE POSITIVES - the files are markdown documentation, not executable code. Content describes legitimate security tools (BloodHound, Impacket, Mimikatz) used by penetration testers. Risk is LOW because: (1) files are read-only reference material, (2) no code execution occurs, (3) content is educational for authorized security testing. Recommend adding disclaimer about authorized use only.

2
Fichiers analysés
772
Lignes analysées
9
résultats
1
Total des audits

Problèmes à risque élevé (2)

SKILL.md:40SKILL.md:163-165
Static Analysis False Positives - Malware Tool References
Static scanner flagged Mimikatz and other security tool references as 'malware type keywords'. These are legitimate penetration testing tools documented for educational purposes, not actual malware distribution.
SKILL.md:85-106SKILL.md:176-180references/advanced-attacks.md:23-59
Static Analysis False Positives - PowerShell Commands
PowerShell invocation patterns flagged by static analysis are documentation examples in markdown code blocks, not executable code. These describe attack techniques for educational purposes.
Problèmes à risque moyen (2)
SKILL.md:114-166references/advanced-attacks.md:18-195
Documentation Contains Attack Command Examples
The skill documents detailed attack commands for credential harvesting, Kerberos attacks, and lateral movement. While educational, this content could be misused without proper authorization context.
SKILL.md:56SKILL.md:80SKILL.md:200-206
Hardcoded IP Address Examples
Documentation contains example IP addresses (10.10.10.10, 10.10.10.12) as placeholders. These are instructional examples, not actual targets.
Problèmes à risque faible (2)
references/advanced-attacks.md:10references/advanced-attacks.md:344
References to Sensitive System Files
Documentation references Windows SAM database and registry paths in the context of explaining attack techniques. These are educational references, not actual file access attempts.
SKILL.md:193references/advanced-attacks.md:277
Weak Cryptography References
Documentation mentions RC4 and other weak algorithms in Kerberos attack contexts. These describe real-world vulnerabilities, not recommendations to use weak crypto.

Facteurs de risque

⚙️ Commandes externes (4)
SKILL.md:54-66 SKILL.md:70-81 SKILL.md:85-106 references/advanced-attacks.md:23-68
🌐 Accès réseau (4)
SKILL.md:56 SKILL.md:80 SKILL.md:116-119 references/advanced-attacks.md:233
📁 Accès au système de fichiers (2)
references/advanced-attacks.md:355-358 references/advanced-attacks.md:378

Motifs détectés

Credential Dumping CommandsKerberos Ticket Forgery
Audité par: claude

Score de qualité

41
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
56
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Planification d'Évaluation Red Team

Les consultants en sécurité préparant des évaluations AD autorisées utilisent cette compétence pour planifier les chemins d'attaque et sélectionner les outils appropriés pour le périmètre d'engagement.

Recherche Défensive Blue Team

Les équipes de sécurité défensive étudient les techniques d'attaque pour comprendre les TTP des adversaires et améliorer les règles de détection pour leurs plateformes SIEM et EDR.

Formation et Éducation en Sécurité

Les instructeurs utilisent les techniques documentées pour enseigner aux étudiants les vulnérabilités AD et les stratégies de remédiation appropriées dans des environnements de laboratoire contrôlés.

Essayez ces prompts

Reconnaissance AD de Base 
Je dois effectuer une reconnaissance Active Directory autorisée. Quelles commandes BloodHound devrais-je utiliser pour énumérer les utilisateurs, groupes et ordinateurs du domaine ? Le domaine cible est example.local avec les identifiants user:password.
Attaque Kerberoasting 
Montrez-moi comment effectuer Kerberoasting contre un domaine Active Directory. Incluez les commandes pour extraire les tickets TGS avec Impacket et les cracker avec hashcat.
Stratégie de Mouvement Latéral 
J'ai compromis un utilisateur domaine à faibles privilèges. Quelles sont les techniques de mouvement latéral recommandées pour escalader les privilèges ? Comparez pass-the-hash, overpass-the-hash et les attaques par délégation.
Planification de Domination de Domaine 
Expliquez comment atteindre la domination de domaine en utilisant les attaques DCSync et Golden Ticket. Incluez les prérequis, commandes et considérations d'évitement de détection pour chaque technique.

Bonnes pratiques

  • Toujours obtenir une autorisation écrite avant d'exécuter toute technique d'attaque AD contre des environnements de production
  • Documenter tous les comptes compromis et systèmes accédés pour le rapport client et les conseils de remédiation
  • Synchroniser l'heure avec le contrôleur de domaine avant les attaques Kerberos pour éviter les échecs de décalage d'horloge
  • Utiliser des techniques furtives comme les limites d'énumération d'utilisateurs pour éviter les verrouillages de comptes durant le password spraying
  • Restaurer tout état système modifié (comme les changements de mot de passe ZeroLogon) après la fin des tests

Éviter

  • Ne jamais exécuter de commandes d'attaque contre des environnements sans autorisation écrite explicite du propriétaire
  • Ne pas exécuter de password spraying agressif qui pourrait verrouiller les comptes d'utilisateurs légitimes
  • Éviter de laisser des Golden Tickets ou autres mécanismes de persistance sans les documenter pour suppression
  • Ne pas modifier les objets Active Directory de production, GPO ou configurations sans approbation

Foire aux questions

Cette compétence est-elle légale à utiliser ?
Cette compétence fournit une documentation éducative pour les professionnels de la sécurité. Utilisez uniquement ces techniques contre des systèmes que vous possédez ou pour lesquels vous avez une autorisation écrite explicite. L'accès non autorisé aux systèmes informatiques est illégal.
De quels outils ai-je besoin pour exécuter ces attaques ?
Les outils courants incluent Impacket (Python), Mimikatz (Windows), Rubeus (Windows), BloodHound/SharpHound, CrackMapExec et hashcat. La plupart sont disponibles sur Kali Linux par défaut.
Cette compétence peut-elle exécuter automatiquement des attaques ?
Non. Cette compétence fournit uniquement de la documentation de référence. Elle n'exécute aucune commande automatiquement. Les utilisateurs doivent exécuter manuellement les commandes dans leur propre environnement.
Quelle est la différence entre Kerberoasting et AS-REP Roasting ?
Kerberoasting cible les comptes de service avec des SPN en demandant des tickets TGS crackables. AS-REP Roasting cible les comptes utilisateurs avec 'Ne pas exiger de préauthentification Kerberos' activé en demandant des réponses AS-REP crackables.
Comment détecter ces attaques dans mon environnement ?
Activez les politiques d'audit avancées pour l'authentification Kerberos, surveillez les demandes TGS inhabituelles, tracez les modèles DCSync (trafic de réplication) et utilisez BloodHound de manière défensive pour identifier les chemins d'attaque avant les adversaires.
Qu'est-ce qu'un Golden Ticket et pourquoi est-il dangereux ?
Un Golden Ticket est un TGT Kerberos falsifié créé avec le hash du mot de passe krbtgt. Il accorde un accès admin domaine persistant qui survit aux changements de mot de passe. La détection nécessite une surveillance des durées de ticket anormales et des types de chiffrement.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/active-directory-attacks

Réf

main

Structure de fichiers

📁 references/

📄 advanced-attacks.md

📄 SKILL.md