Active Directory Intrusion Tactics: Advanced Level

Pentest

Description

Pour de nombreuses entreprises, l'Active Directory constitue le cœur de la gestion des identités et des accès. Son omniprésence au sein des systèmes d'information en fait une cible de choix pour les attaques informatiques et les tests d'intrusion sont un composant clé de sa défense contre les menaces.

Au cours de cette formation de cinq jours, vous approfondirez vos compétences d'intrusion en environnement Active Directory. Guidé par nos experts, étudiez des techniques avancées de reconnaissance, mouvements latéraux, élévation de privilèges, extraction de secrets et persistance. Afin de mettre en pratique les concepts enseignés, les apprenants seront mis en situation sur deux environnements d'entreprise complets, issus de scénarios de compromission réels.

5 jours (35 heures)
5 modules de cours couvrant les étapes d'une intrusion réaliste
2 environnements d'entreprise avec 30+ machines et des services comme ADCS et SCCM

Objectifs

Approfondir les mécanismes avancés de sécurité d’Active Directory
Mettre en œuvre des techniques d’attaque avancées sur Active Directory
Exploiter des scénarios d’intrusion complexes sur un environnement Active Directory

Public et prérequis

Cette formation s'adresse aux profils techniques confirmés ayant déjà une expérience significative sur les environnements Active Directory. Elle constitue la suite logique du cursus Active Directory Intrusion Tactics: Entry Level. Profils cibles :

Pentesteurs / red teamers
Administrateurs système
Architectes sécurité

Afin de profiter pleinement de cette formation, les participants doivent posséder une expérience préalable sur les points suivants :

Utilisation courante de la suite Impacket, de NetExec et de BloodHound.
Maîtrise des attaques basiques : poisoning LLMNR / NBNS, Kerberoasting et rejeu d'identifiants.
Extraction des secrets relatifs aux environnements Windows (base SAM, processus LSASS).
Pratique des rebonds et du tunneling (SOCKS / TUN) pour la navigation entre différents réseaux.

De bonnes connaissances en administration Windows, UNIX et une compréhension des protocoles NTLM et Kerberos sont recommandées pour aborder les modules avancés.

Contenu

Jour 1

Fondamentaux : mécanismes Active Directory, principes d'intrusion généraux et spécifiques à ces environnements. Reconnaissance et premières actions depuis un accès authentifié : méthodes de récupération d'information (ADIDNS, détection de services via analyses LDAP et GPO) utilisation avancée de BloodHound (Cypher queries).

Jour 2

Mouvements latéraux : empoisonnement ADIDNS, WinRM et JEA, extraction de secrets LAPS, gMSA/sMSA, abus de liens de confiance MS-SQL, relaying NTLM (dissection, relai cross-protocoles, WebDAV), coercing d'authentification, relai Kerberos, pivots inter-forêts.

Jour 3

Élévation de privilèges locale : access token et impersonation, étude des vulnérabilités potatoes. Élévation de privilèges sur le domaine : étude et abus des ACL, exploitation avancée de délégation Kerberos, ADCS ESC1 à 15, mécanismes et primitives d’exploitation SCCM, abus de groupes privilégiés, analyse de vulnérabilités publiques.

Jour 4

Extraction de secrets : méthodes et outils d'extraction LSASS, usurpation de tokens, analyse des secrets de bases de registres, implémentation DPAPI, extraction de bases KeePass.

Jour 5

Persistance : ADCS (certificats), tickets Kerberos (golden, diamond, sapphire), DSRM, golden gMSA, abus AdminSDHolder, création de skeleton key, délégation Kerberos, empoisonnement de GPO, DC Shadow.

Toutes les modalités de déroulement de la formation sont détaillées sur cette page.