| Bestand | Wat het doet |
|---|
ad_genericall | GenericAll-misbruik: als je GenericAll hebt op een object, kun je er alles mee doen. Wachtwoord resetten, groepslidmaatschap wijzigen, de hele santenkraam. Het is de sleutel die op alle deuren past, en iemand heeft hem in je schoot laten vallen. |
ad_writedacl | WriteDACL-misbruik: jezelf DCSync-rechten geven via de ACL. Alsof je jezelf een VIP-pas schrijft voor het concert. In je eigen handschrift. En de beveiliging het accepteert. |
ad_enum_acl | ACL-enumeratie met PowerView. Wie heeft welke rechten op welke objecten? Dit is waar je de misconfiguraties vindt die niemand bedoeld heeft maar die al drie jaar bestaan. |
ad_dcsync | DCSync: Mimikatz vraagt de Domain Controller om wachtwoord-hashes alsof het een legitieme replicatiepartner is. De DC geeft ze gewoon. Elke keer weer. Zonder vragen. Als een automaat die gratis snoep uitdeelt aan iedereen die op de juiste knop drukt. |
ad_bloodhound_collect | SharpHound data verzamelen voor BloodHound. Alle relaties in het domein in een grafiekdatabase stoppen en dan het kortste pad naar Domain Admin zoeken. Het is Google Maps voor privilege escalation. |
ad_enum_ldap_raw | LDAP-enumeratie zonder PowerView. Puur met [adsisearcher] en ldapsearch. Voor als je geen tools kunt uploaden maar wel PowerShell hebt. Improviseren met wat je hebt — het kenmerk van een echte professional. Of een student. Het verschil is het contract. |
ad_trust_child_to_parent | Van een child domain naar het parent domain escaleren via sIDHistory en het krbtgt-trust-account. AD vertrouwt zijn kinderen. Dat is lief. Dat is ook dom. |
ad_trust_cross_forest | Cross-forest aanvallen. Wat je kunt doen als er een trust is tussen twee forests. Minder dan child-to-parent, maar genoeg om je opdrachtgever bleek te laten worden. |
ad_writeowner | Object ownership overnemen om WriteDACL te krijgen. Eerst word je eigenaar, dan schrijf je de regels. Het is een vijandige overname in twee stappen. Dezelfde strategie als in het bedrijfsleven, maar dan sneller en met minder vergaderingen. |
ad_addmember | Gebruikers toevoegen aan beveiligingsgroepen via WriteProperty of Self-rechten. Jezelf lid maken van Domain Admins alsof je je inschrijft voor een sportclub. Het aanmeldformulier is een PowerShell-commando. |
ad_dnsadmins | DnsAdmins-groep misbruiken om een DLL te laden in de DNS-service. De DNS-service draait als SYSTEM. Jouw DLL draait in de DNS-service. Jouw DLL draait als SYSTEM. Wiskunde is soms heel eenvoudig. |
ad_entra_connect | Azure AD Connect: het MSOL_-serviceaccount wachtwoord in cleartext extraheren uit de lokale database. Dat account heeft DCSync-rechten. Eén query. Eén wachtwoord. Alle hashes. Het is de snelste route naar domain compromise die niemand in de gaten houdt. |
ad_foreign_principals | Foreign Security Principals: cross-forest groepslidmaatschap misbruiken. Gebruikers uit het ene forest die rechten hebben in het andere. Grenzen zijn er om gerespecteerd te worden. Tenzij iemand je expliciet toegang geeft. Dan zijn grenzen suggesties. |
ad_forest_pivot | Cross-forest escalatie via SID History en forest trusts. Van het ene bos naar het andere springen. Zonder parachute. Zonder net. Met een Golden Ticket en een droom. |
ad_gpoddity | GPO-misbruik via gPCFileSysPath spoofing gecombineerd met NTLM relay. De GPO wijst naar jouw share. De machine voert jouw script uit. De GPO denkt dat alles in orde is. De GPO denkt niet. Dat is het probleem. |
ad_nopac | CVE-2021-42278/42287: een machine-account hernoemen naar de DC, een TGT aanvragen, terughernoemen, en een service ticket vragen. Vier stappen. Domain Admin. Het is zo elegant dat het bijna beledigend is voor iedereen die het niet heeft gepatcht. |
ad_pam_trust | Privileged Access Management trusts en shadow principals exploiteren. PAM was bedoeld om toegang veiliger te maken. In de verkeerde handen maakt het toegang juist makkelijker. Ironie is het basismateriaal van informatiebeveiliging. |
ad_sccm_takeover | SCCM-infrastructuur overnemen via meerdere aanvalspaden. SCCM beheert elke machine in het netwerk. Als jij SCCM beheert, beheer jij elke machine. Het is de ultieme supply-chain aanval — maar dan intern. |
ad_shadow_credentials | Shadow Credentials: Windows Hello for Business keys schrijven naar een AD-object. Authenticeer met jouw certificaat. Geen wachtwoord nodig. Geen hash nodig. Alleen GenericWrite. En dat heeft iedereen. |
ad_trust_account | Forest trust account credentials gebruiken voor toegang in het vertrouwde forest. Het trust-account wachtwoord staat in de LSA secrets. Dump het. Gebruik het. Het vertrouwen was wederzijds. Nu is het eenzijdig. |
ad_trust_non_transitive | Non-transitieve trusts exploiteren via Kerberos referral chain hopping. De trust was niet-transitief. Dat betekent dat A vertrouwt B, maar niet C. Tenzij je via B gaat. Dan wel. Logica is flexibel als je er lang genoeg naar kijkt. |
ad_wmi_filter_abuse | WMI-filters van GPO’s aanpassen om code-executie te triggeren op specifieke machines. De filter bepaalt waar de GPO geldt. Jij bepaalt wat de filter zegt. Subtiel. Effectief. Moeilijk te detecteren. De heilige drie-eenheid. |