Eksploatacja po awarii jest ważnym etapem ataku. Kiedy uzyskujemy dostęp do systemu poprzez phishing lub eksploatację, często host, do którego uzyskujemy dostęp, nie jest hostem, który jest naszym celem końcowym. Z tego powodu musimy być w stanie przeprowadzić rozpoznanie użytkowników, hostów i obiektów Active Directory, aby pomóc zidentyfikować ścieżki, gdzie możemy uzyskać uprawnienia i utrzymać nasz dostęp do sieci.