Навыки active-directory-attacks
🛡️

active-directory-attacks

Низкий риск ⚙️ Внешние команды🌐 Доступ к сети📁 Доступ к файловой системе

Выполнение тестирования на проникновение Active Directory и оценок красной команды

Службам безопасности необходим комплексный справочный материал для авторизованных оценок Active Directory. Этот навык предоставляет документированные методы атак и команды инструментов для пентестеров, проводящих операции красной команды.

Поддерживает: Claude Codex Code(CC)
⚠️ 62 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «active-directory-attacks». Покажите команды Kerberoasting для домена example.local

Ожидаемый результат:

  • Using Impacket from Linux: GetUserSPNs.py example.local/user:password -dc-ip 10.10.10.10 -request -outputfile hashes.txt
  • Using Rubeus from Windows: .\Rubeus.exe kerberoast /outfile:hashes.txt
  • Cracking with hashcat: hashcat -m 13100 hashes.txt rockyou.txt

Использование «active-directory-attacks». How do I perform a DCSync attack?

Ожидаемый результат:

  • DCSync requires Replicating Directory Changes rights. Using Impacket: secretsdump.py example.local/admin:password@10.10.10.10 -just-dc
  • Using Mimikatz: lsadump::dcsync /domain:example.local /user:krbtgt
  • This extracts all domain password hashes including krbtgt for Golden Ticket creation

Аудит безопасности

Низкий риск
v1 • 2/24/2026

This skill contains documentation and reference material for Active Directory penetration testing techniques. Static analysis flagged 200+ patterns (PowerShell commands, tool references, IP addresses) but all are FALSE POSITIVES - the files are markdown documentation, not executable code. Content describes legitimate security tools (BloodHound, Impacket, Mimikatz) used by penetration testers. Risk is LOW because: (1) files are read-only reference material, (2) no code execution occurs, (3) content is educational for authorized security testing. Recommend adding disclaimer about authorized use only.

2
Просканировано файлов
772
Проанализировано строк
9
находки
1
Всего аудитов

Проблемы высокого риска (2)

SKILL.md:40SKILL.md:163-165
Static Analysis False Positives - Malware Tool References
Static scanner flagged Mimikatz and other security tool references as 'malware type keywords'. These are legitimate penetration testing tools documented for educational purposes, not actual malware distribution.
SKILL.md:85-106SKILL.md:176-180references/advanced-attacks.md:23-59
Static Analysis False Positives - PowerShell Commands
PowerShell invocation patterns flagged by static analysis are documentation examples in markdown code blocks, not executable code. These describe attack techniques for educational purposes.
Проблемы среднего риска (2)
SKILL.md:114-166references/advanced-attacks.md:18-195
Documentation Contains Attack Command Examples
The skill documents detailed attack commands for credential harvesting, Kerberos attacks, and lateral movement. While educational, this content could be misused without proper authorization context.
SKILL.md:56SKILL.md:80SKILL.md:200-206
Hardcoded IP Address Examples
Documentation contains example IP addresses (10.10.10.10, 10.10.10.12) as placeholders. These are instructional examples, not actual targets.
Проблемы низкого риска (2)
references/advanced-attacks.md:10references/advanced-attacks.md:344
References to Sensitive System Files
Documentation references Windows SAM database and registry paths in the context of explaining attack techniques. These are educational references, not actual file access attempts.
SKILL.md:193references/advanced-attacks.md:277
Weak Cryptography References
Documentation mentions RC4 and other weak algorithms in Kerberos attack contexts. These describe real-world vulnerabilities, not recommendations to use weak crypto.

Факторы риска

⚙️ Внешние команды (4)
SKILL.md:54-66 SKILL.md:70-81 SKILL.md:85-106 references/advanced-attacks.md:23-68
🌐 Доступ к сети (4)
SKILL.md:56 SKILL.md:80 SKILL.md:116-119 references/advanced-attacks.md:233
📁 Доступ к файловой системе (2)
references/advanced-attacks.md:355-358 references/advanced-attacks.md:378

Обнаруженные паттерны

Credential Dumping CommandsKerberos Ticket Forgery
Проверено: claude

Оценка качества

41
Архитектура
100
Сопровождаемость
87
Контент
21
Сообщество
56
Безопасность
91
Соответствие спецификации

Что вы можете построить

Планирование оценки красной команды

Консультанты по безопасности, готовящиеся к авторизованным оценкам AD, используют этот навык для планирования путей атак и выбора подходящих инструментов для масштаба ангажмента.

Исследование защиты синей команды

Команды оборонной безопасности изучают техники атак для понимания TTП противников и улучшения правил обнаружения для своих платформ SIEM и EDR.

Обучение и подготовка по безопасности

Инструкторы используют документированные техники для обучения студентов уязвимостям AD и правильным стратегиям исправления в контролируемых лабораторных средах.

Попробуйте эти промпты

Базовая разведка AD 
Мне нужно выполнить авторизованную разведку Active Directory. Какие команды BloodHound следует использовать для перечисления пользователей, групп и компьютеров домена? Целевой домен - example.local с учетными данными user:password.
Атака Kerberoasting 
Покажите, как выполнить Kerberoasting против домена Active Directory. Включите команды для извлечения TGS-билетов с помощью Impacket и их взлома с помощью hashcat.
Стратегия латерального движения 
Я скомпрометировал низкопривилегированного пользователя домена. Какие рекомендуемые техники латерального движения для повышения привилегий? Сравните pass-the-hash, overpass-the-hash и атаки с делегацией.
Планирование доминирования в домене 
Объясните, как достичь доминирования в домене с помощью атак DCSync и Golden Ticket. Включите предварительные требования, команды и соображения по избеганию обнаружения для каждой техники.

Лучшие практики

  • Всегда получайте письменную авторизацию перед выполнением любых техник атак AD против производственных сред
  • Документируйте все скомпрометированные учетные записи и доступные системы для отчетности клиента и руководства по исправлению
  • Синхронизируйте время с контроллером домена перед атаками Kerberos, чтобы избежать сбоев из-за рассинхронизации часов
  • Используйте скрытные техники, такие как ограничения перечисления пользователей, чтобы избежать блокировки учетных записей при распылении паролей
  • Восстанавливайте любое измененное состояние системы (например, изменения пароля ZeroLogon) после завершения тестирования

Избегать

  • Никогда не выполняйте команды атак против сред без явной письменной авторизации от владельца
  • Не запускайте агрессивное распыление паролей, которое может заблокировать легитимные учетные записи пользователей
  • Оставляйте Golden Tickets или другие механизмы персистентности без их документирования для удаления
  • Не изменяйте объекты Active Directory, GPO или конфигурации в производственной среде без одобрения

Часто задаваемые вопросы

Является ли этот навык законным для использования?
Этот навык предоставляет образовательную документацию для специалистов по безопасности. Используйте эти техники только против систем, которыми вы владеете или имеете явное письменное авторизацию для тестирования. несанкционированный доступ к компьютерным системам является незаконным.
Какие инструменты мне нужны для выполнения этих атак?
Common tools include Impacket (Python), Mimikatz (Windows), Rubeus (Windows), BloodHound/SharpHound, CrackMapExec, and hashcat. Most are available on Kali Linux by default.
Может ли этот навык автоматически запускать атаки?
Нет. Этот навык предоставляет только справочную документацию. Он не выполняет никакие команды автоматически. Пользователи должны вручную запускать команды в своей собственной среде.
В чем разница между Kerberoasting и AS-REP Roasting?
Kerberoasting атакует учетные записи служб с SPN, запрашивая взламываемые TGS-билеты. AS-REP Roasting атакует учетные записи пользователей с включенной опцией 'Do not require Kerberos preauthentication', запрашивая взламываемые ответы AS-REP.
Как обнаружить эти атаки в моей среде?
Включите расширенные политики аудита для аутентификации Kerberos, отслеживайте необычные запросы TGS, отслеживайте паттерны DCSync (трафик репликации) и используйте BloodHound оборонительно для идентификации путей атак до того, как это сделают противники.
Что такое Golden Ticket и почему он опасен?
Golden Ticket - это поддельный билет Kerberos TGT, созданный с хэшем пароля krbtgt. Он предоставляет персистентный доступ администратора домена, который переживает изменения пароля. Обнаружение требует мониторинга аномальных времен жизни билетов и типов шифрования.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/active-directory-attacks

Ссылка

main

Структура файлов

📁 references/

📄 advanced-attacks.md

📄 SKILL.md