Skip to content
Learni
Voir tous les tutoriels
Cybersécurité

Comment maîtriser CrackMapExec en 2026

12 minADVANCED
CybersécuritéPentestActive DirectoryCrackMapExecRed Team
Read in English

Introduction

En 2026, les environnements Active Directory (AD) restent le cœur des infrastructures d'entreprise, représentant plus de 90 % des réseaux Windows critiques. CrackMapExec (CME), développé par les experts en cybersécurité offensive, est l'outil de référence pour l'énumération et l'exploitation automatisée de faiblesses AD. Contrairement aux scripts manuels, CME intègre des modules polyvalents (SMB, WinRM, Kerberos) pour scanner des milliers d'hôtes en parallèle, révélant des comptes faibles, des partages ouverts ou des tickets Kerberos vulnérables.

Ce tutoriel avancé, 100 % conceptuel, s'adresse aux pentesters expérimentés cherchant à optimiser leurs engagements. Nous explorerons la théorie sous-jacente, les stratégies d'attaque structurées et les bonnes pratiques éthiques. L'objectif : transformer CME en arme chirurgicale pour des tests autorisés, minimisant les faux positifs et maximisant la valeur des rapports. Sans code, focus sur la compréhension profonde pour une maîtrise professionnelle. (128 mots)

Prérequis

  • Expertise en Active Directory : hiérarchie domaines, trusts, objets LDAP.
  • Connaissances avancées en protocoles : SMBv3, Kerberos (AS-REP roasting, Silver Tickets), NTLM.
  • Maîtrise de Linux/Kali : gestion des dépendances Python (Impacket, ldap3).
  • Certifications éthiques : OSCP, CEH ou équivalent.
  • Autorisation légale : RoE (Rules of Engagement) signées pour tout test.

Architecture théorique de CrackMapExec

CME repose sur une architecture modulaire asynchrone, inspirée des principes de parallelism en pentest. Au cœur : un dispatcher qui orchestre les threads pour cibler des plages IP massives sans surcharge réseau.

Modules clés :

  • SMB : Énumère sessions, partages, hashes NTLM (relaying potentiel).
  • WinRM/PSRemoting : Exécution distante via PowerShell, idéal pour lateral movement.
  • Kerberos : Roasting (AS-REP), overpass-the-hash, tickets exportables.
  • LDAP : Query anonyme pour users/groups/machines.

Analogie : CME est comme un sonar multi-fréquences balayant l'océan AD ; chaque module filtre un spectre spécifique. Théoriquement, sa force réside dans la corrélation des résultats : un hash NTLM faible (SMB) alimente un ticket Kerberos pour élévation.

Étude de cas : Lors d'un Red Team sur 500 hôtes, CME identifie 20 % de comptes admins locaux en 5 minutes, contre 2 heures manuellement.

Stratégies d'énumération avancées

Phase 1 : Reconnaissance passive – Utilisez des queries LDAP anonymes pour mapper la forêt AD sans authentification. Théorie : Exploitez les binds null pour extraire OUs, DCs et SIDs.

Phase 2 : Enumeration active ciblée – Priorisez les DCs via --gen-relay-list pour relayer NTLM. Concept : Capturez des authentifs TYPE 3 (NTLMv2) et filtrez par délégation contrainte.

Phase 3 : Exploitation conditionnelle – Chainnez modules : SMB pour null sessions → Kerberos pour unconstrained delegation → WinRM pour shell.

Framework stratégique :

ÉtapeModuleObjectifMétrique de succès
--------------------------------------------
1LDAPMapper users>80% coverage
2SMBHashes/admins<5% false +
3KerberosTickets crackablesJC >= 95%

Exemple concret : Sur un domaine flat, mssql module révèle des instances SQL avec SA faible, pivot vers RDP.

Intégration dans une méthodologie Red Team

Intégrez CME dans le Cyber Kill Chain adapté :

  • Recon : CME comme accélérateur post-Nmap.
  • Weaponization : Générez payloads relay (.pac, .kirbi).
  • Delivery : Associez à Cobalt Strike pour C2.

Workflow avancé :
  1. Scope IP → CME spray (throttle à 1000 req/s).
  2. Parse JSON output → Feed BloodHound pour graphes AD.
  3. Priorisez paths : shortest path to DA via delegation abuse.

Analogie : CME est le "scout" d'une armée ; il illumine les sentiers faibles pour l'infanterie (Mimikatz, Rubeus). En 2026, avec Zero Trust, focus sur cloud-hybrid : modules Azure AD en preview.

Étude de cas MITRE ATT&CK : T1550.002 (Use Alternate Auth) – CME excelle en Pass-the-Hash massif.

Bonnes pratiques essentielles

  • Éthique first : Toujours obtenir autorisation écrite ; documentez chaque commande avec timestamps et scopes.
  • Stealth mode : Utilisez --jitter, proxies SOCKS et User-Agent rotation pour éviter SIEM detection.
  • Throttling intelligent : Limitez à 10-20 % de bande passante ; surveillez avec --verbose pour anomalies.
  • Corrélation outputs : Pipez vers ELK/ Splunk ; analysez avec regex pour patterns (ex: RID 500 = Administrator).
  • Post-exploitation : Nettoyez artefacts (event logs) ; recommandez hardening (LAPS, protected users).

Erreurs courantes à éviter

  • Ignore RoE : Tester hors scope expose à poursuites ; toujours validez IPs/users.
  • Noisy scanning : Sans throttle, déclenchez EDR (ex: Defender ATP bloque SMB après 100 connexions).
  • Faux positifs : Ne trustez pas null sessions sur AWS-hosted AD ; validez manuellement.
  • Version obsolète : En 2026, patches SMBv3.1.1 cassent modules ; update git weekly.
  • Oubli chaining : Isoler modules rate ; toujours corrélez pour true positives.

Pour aller plus loin

Approfondissez avec :

  • Documentation officielle : byt3bl33d3r/CrackMapExec.
  • Ressources MITRE : ATT&CK for AD mappings.
  • Outils complémentaires : BloodHound CE, Rubeus.

Découvrez nos formations avancées en pentest AD chez Learni Group : OSCP-like labs sur CME en environnements réalistes.