Offensive
Active Directory offensif & défensif : CTF Lazarus
Compromettez le domaine du CTF Lazarus, de l'accès initial au Domain Admin, puis verrouillez chaque vecteur que vous avez exploité.
Durée
21h · 3 modules de 7h
Public visé
Pentesters juniors, administrateurs Active Directory / systèmes Windows, analystes SOC souhaitant comprendre les attaques AD côté offensif comme défensif.
Tarif inter
1 800 € HT / stagiaire (parcours 21h)
À la carte : 600 € HT / stagiaire (module 7h)
À la carte : 600 € HT / stagiaire (module 7h)
Tarif intra
5 000 € HT / groupe jusqu'à 8 stagiaires (parcours 21h)
À la carte : 1 800 € HT / groupe (module 7h)
À la carte : 1 800 € HT / groupe (module 7h)
Format modulaire : parcours de 21h en 3 modules de 7h. Suivez le parcours complet ou seulement les modules de 7h qui vous intéressent, à la carte.
Objectifs pédagogiques
- Réaliser une reconnaissance complète d'un domaine Active Directory avec des outils offensifs (BloodHound, PowerView, ldapsearch)
- Exploiter les faiblesses de configuration Kerberos (Kerberoasting, AS-REP Roasting) pour extraire et casser des credentials
- Exécuter des techniques de mouvement latéral (Pass-the-Hash, PSExec, WMI) dans un environnement AD compromis
- Cartographier les chemins d'attaque vers le Domain Admin avec BloodHound et identifier les nœuds critiques
- Réaliser une escalade de privilèges complète jusqu'à la compromission du contrôleur de domaine
- Configurer les mesures de détection et de durcissement AD pour chaque technique offensive étudiée
- Analyser les journaux d'événements Windows pour détecter les indicateurs d'attaque AD (4768, 4769, 4624, 4625, 4672)
- Produire un rapport de test d'intrusion AD structuré avec recommandations de remédiation priorisées
Prérequis
Connaissances de base en administration Windows Server et Active Directory (GPO, DNS, Kerberos). Aisance en ligne de commande (PowerShell ou Linux). Notions de réseau (TCP/IP, DNS, LDAP).
Programme détaillé
M1
Reconnaissance & énumération AD · module 7h
- Briefing : anatomie d'une kill chain Active Directory, de l'accès initial au Domain Admin
- REX mission : retour sur un audit AD réel (anonymisé), ce qui a permis la compromission en moins de 4h
- Lab : prise en main du CTF Lazarus (topologie du domaine, postes, outils)
- Énumération passive : DNS, LDAP, SMB null sessions, RPC
- Énumération active : PowerView, ADRecon, ldapdomaindump
- BloodHound : collecte (SharpHound), import, lecture des graphes, identification des chemins d'attaque
- Atelier : cartographier le domaine Lazarus et identifier 3 chemins vers Domain Admin
M2
Kerberos, credentials & mouvement latéral · module 7h
- Rappel Kerberos : TGT, TGS, PAC, comprendre le protocole pour mieux l'attaquer
- Kerberoasting & AS-REP Roasting : extraction et cracking offline (Hashcat/John)
- Credential harvesting : Mimikatz (sekurlsa, lsadump), SAM dump, password spraying ciblé
- Pass-the-Hash / Pass-the-Ticket : principes et mise en œuvre
- Exécution distante : PSExec, WMI, WinRM, DCOM, traces laissées
- Pivoting : rebond entre segments réseau, tunnels SOCKS
- Atelier fil rouge Lazarus : du premier credential au pivot interne
M3
Escalade Domain Admin, défense & CTF final · module 7h
- Escalade de privilèges : abus de délégation (unconstrained, constrained, RBCD), ACL dangereuses
- DCSync : extraction de la base NTDS, Golden & Silver Ticket pour la persistance
- Durcissement AD : tiering model, LAPS, Protected Users, désactivation des protocoles legacy
- Détection : événements Windows clés, règles Sigma, monitoring BloodHound en mode défensif
- Atelier défense : appliquer un plan de remédiation et vérifier que les attaques des modules 1 et 2 échouent
- CTF Lazarus noté (3h) : 10+ flags couvrant l'ensemble de la kill chain, chaque flag est une preuve d'acquis
- Correction collective et rédaction d'un mini-rapport de pentest AD
Points forts
CTF Lazarus développé par Humanix : environnement AD réaliste, pas un exercice académique
Formateur pentester en activité, chaque technique illustrée par un cas réel de mission
Kill chain complète : de la reconnaissance au Domain Admin, puis retour défense
CTF noté qui valide chaque compétence de façon mesurable
Volet défense intégré : le stagiaire ne repart pas qu'avec des techniques d'attaque
Ancrage terrain
Retour d'expérience mission (anonymisé)
Audit AD d'une PME industrielle (50 postes, 3 sites). Compromission Domain Admin en 3h47 à partir d'un accès réseau non privilégié. Vecteur principal : Kerberoasting sur un compte de service SQL à mot de passe faible, suivi d'une délégation non contrainte. Cette kill chain a inspiré le scénario du CTF Lazarus.
Modalités
Modalités pédagogiques
80 % pratique / 20 % théorie. Le CTF Lazarus, développé par Humanix, sert de fil rouge : chaque technique est d'abord démontrée par le formateur, puis reproduite par le stagiaire en conditions réalistes. Volet défense intégré après chaque vague d'attaque. Scénario ancré sur un retour d'expérience de mission réelle (anonymisé). Pas de slides déconnectés du terrain.
Moyens techniques
CTF Lazarus : lab Active Directory pédagogique isolé (contrôleur de domaine, postes clients, serveurs membres), accès individuel par stagiaire. Outils fournis : BloodHound, SharpHound, Mimikatz, CrackMapExec, Impacket, PowerView, Hashcat. Plateforme CTFd pour l'évaluation finale.
Évaluation des acquis
Positionnement en amont (questionnaire de pré-évaluation). Évaluation continue par les ateliers pratiques. CTF Lazarus noté en fin de parcours (capture de flags = preuve mesurable des acquis). Questionnaire de satisfaction à chaud.
Modalités d'accès
Inscription par formulaire sur le site ou via Digital 113 / Human Coders. Délai d'accès : 2 à 4 semaines selon le calendrier des sessions (intra : dates à convenir).
Accessibilité PSH
Formation accessible aux personnes en situation de handicap. Contactez-nous en amont pour adapter les modalités pédagogiques et techniques à vos besoins spécifiques. Référent handicap : Florian Durano, fdurano@humanix-cybersecurity.fr.
Cadre légal
Toutes les techniques enseignées sont pratiquées exclusivement sur le CTF Lazarus, lab isolé à finalité pédagogique, sans connexion au réseau de production. Le formateur rappelle systématiquement le cadre légal : ces techniques ne s'emploient que dans un périmètre explicitement autorisé (contrat de pentest, autorisation écrite du propriétaire du SI). Articles 323-1 à 323-7 du Code pénal.