Sto esplorando lo strumento di ricognizione di Bloodhound Active Directory. Ci sono poche etichette in questo strumento come "AdminTo, MemberOf, HasSession" le prime due sono ovvie per me. Tuttavia, non ho avuto il concetto di "HasSession". Significa che un utente ha una connessione RDP su quella macchina o ha eseguito qualcosa su quella macchina con psexec o totalmente qualcos'altro?
Questo corrisponde allo script Powerview "User-Hunter" che trova gli amministratori che sono autenticati alle risorse. Sì, ho confermato che vengono registrate solo le sessioni RDP, e non PSExec o altre sessioni, il che è sfortunato, perché quelle sessioni sono spesso altrettanto preziose.
Tuttavia, è possibile trovare sessioni SMB utilizzando lo strumento Sysinternals di PSLoggedon.exe. Lo script Nmap "smb-enum-sessions.nse" utilizza lo stesso metodo e potrebbe anche funzionare.
Leggi altre domande sui tag active-directory