Estoy explorando la herramienta de reconocimiento de Active Directory de Bloodhound. Hay pocas etiquetas en esta herramienta como "AdminTo, MemberOf, HasSession" las dos primeras son obvias para mí. Sin embargo, no entendí el concepto de "HasSession". ¿Significa que un usuario tiene conexión RDP en esa máquina o ejecutó algo en esa máquina con psexec o algo totalmente distinto?
Esto corresponde al script Powerview "User-Hunter" que encuentra a los administradores autenticados en los recursos. Sí, he confirmado que solo se registran las sesiones RDP, y no PSExec o cualquier otra sesión, lo que es desafortunado, ya que esas sesiones a menudo son igual de valiosas.
Sin embargo, puede encontrar sesiones SMB utilizando la herramienta Sysinternals de PSLoggedon.exe. La secuencia de comandos de Nmap "smb-enum-sessions.nse" utiliza el mismo método y también puede funcionar.
Lea otras preguntas en las etiquetas active-directory