1. Sin Credenciales (Desde fuera)

Si solo tienes conexión de red pero no usuario.

Enumeración de Usuarios (Kerbrute): Valida usuarios contra Kerberos (Puerto 88) de forma silenciosa.

# Enumerar usuarios válidos
./kerbrute_linux_amd64 userenum -d dominio.local --dc <IP_DC> users.txt

# Fuerza bruta de contraseñas (Cuidado con los bloqueos)
./kerbrute_linux_amd64 bruteuser -d dominio.local --dc <IP_DC> passwords.txt <usuario>

SMB Null Session:

smbclient -N -L //<IP>
smbmap -H <IP> -u "null"
enum4linux -a <IP>

LDAP Anónimo:

ldapsearch -x -H ldap://<IP> -b "DC=dominio,DC=local"

2. Con Credenciales (Desde dentro)

Una vez tienes un usuario válido (aunque sea low-priv).

BloodHound (El mapa del tesoro): Recopila datos para visualizarlos en BloodHound.

# Desde Linux (Python ingestor)
bloodhound-python -d dominio.local -u usuario -p password -gc <IP_DC> -c All -ns <IP_DNS>

# Desde Windows (SharpHound)
.\SharpHound.exe -c All

PowerView (PowerShell): Carga el script en memoria: Import-Module .\PowerView.ps1

Get-NetDomain       # Info básica del dominio
Get-NetUser         # Listar usuarios
Get-NetComputer     # Listar ordenadores
Get-NetGroup        # Listar grupos
Get-NetGroupMember -GroupName "Domain Admins"  # ¿Quién es admin?
Find-LocalAdminAccess  # ¿Dónde soy admin local?

Ldapdomaindump (HTML Report):

ldapdomaindump -u 'dominio\usuario' -p 'password' <IP_DC>