Identificando un servidor de Active Directory

Vamos a iniciar realizando un escaneo utilizando nuestro túnel de SSH dinamico sobre el servidor:

Basándonos en la imagen proporcionada, podemos determinar que nos encontramos frente a un servidor de Active Directory o Controlador de Dominio (DC) debido a la presencia de varios puertos abiertos que son característicos de un entorno de Active Directory y los servicios que lo acompañan. A continuación, explico los puertos clave que nos permiten afirmar esto:

1. Puerto 53 (TCP/UDP) – DNS

• Servicio: Simple DNS Plus

• Función: Un servidor de Active Directory suele actuar como servidor DNS dentro de la red, ya que AD depende fuertemente de DNS para resolver nombres y para su correcta operación. La presencia de este puerto indica que el servidor maneja resolución de nombres dentro de la red, lo cual es un fuerte indicio de que es un DC.

2. Puerto 88 (TCP/UDP) – Kerberos

• Servicio: Microsoft Windows Kerberos

• Función: Kerberos es el principal protocolo de autenticación utilizado en Active Directory. Un servidor que ofrece este servicio suele ser un Controlador de Dominio, ya que maneja la autenticación de usuarios y servicios dentro del dominio.

3. Puerto 389 (TCP) – LDAP (Lightweight Directory Access Protocol)

• Servicio: Microsoft Windows Active Directory LDAP

• Función: LDAP es utilizado para acceder y administrar el directorio de usuarios y otros objetos dentro de AD. Este puerto está directamente relacionado con Active Directory, ya que es el protocolo mediante el cual se realizan las consultas al directorio.

5. Puerto 636 (TCP) – LDAPS (LDAP sobre SSL/TLS)

• Servicio: Microsoft Windows Active Directory LDAP (sobre SSL)

• Función: Este puerto proporciona la versión segura de LDAP (LDAPS), que es otra fuerte indicación de que estamos ante un Controlador de Dominio, ya que es utilizado para proteger la comunicación de las consultas al directorio.

6. Puerto 3268 (TCP) – Global Catalog (GC)

• Servicio: Microsoft Windows Global Catalog

• Función: El Global Catalog es un servicio crucial en entornos de Active Directory que permite a los controladores de dominio realizar búsquedas rápidas en todo el bosque AD. Este puerto solo lo tienen los controladores de dominio que actúan como servidores de catálogo global.

7. Puerto 3389 (TCP) – RDP (Remote Desktop Protocol)

• Servicio: Posible acceso por Escritorio Remoto

• Función: Aunque este puerto no es específico de AD, muchos controladores de dominio permiten la administración remota a través de RDP, y su presencia en el servidor indica que es accesible de manera remota para la gestión.

8. Otros Puertos (TCP 135, 139, 445) – RPC (Remote Procedure Call)

• Función: Estos puertos son utilizados para las comunicaciones entre máquinas dentro de un dominio de Active Directory, y para la interacción con los servicios de Microsoft, como el acceso a recursos compartidos, y la administración remota mediante DCOM.

Conclusión:

La combinación de los puertos abiertos mencionados (DNS, Kerberos, LDAP, SMB, LDAPS, Global Catalog, RPC) es una clara indicación de que el servidor escaneado está actuando como un Controlador de Dominio (DC) en un entorno de Active Directory. Estos puertos son esenciales para el funcionamiento de AD y la gestión centralizada de usuarios y recursos en una red corporativa.

Identificacion de Hostname:

Un parámetro interesante de Nmap es el siguiente que nos va a permitir identificar información como el hostname del equipo auditado:

Basado en la versión del Windows, vamos a utilizar el siguiente exploit para intentar validar si este equipo es vulnerable a ZeroLogon.

GitHub - VoidSec/CVE-2020-1472: Exploit Code for CVE-2020-1472 aka ZerologonGitHub