Certified

Information Gathering

Port and Services

Nmap scan report for 10.10.11.41
Host is up (0.034s latency).
Not shown: 65516 filtered tcp ports (no-response)
PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-04-27 01:41:36Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: certified.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=DC01.certified.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.certified.htb
| Not valid before: 2024-05-13T15:49:36
|_Not valid after:  2025-05-13T15:49:36
|_ssl-date: 2025-04-27T01:43:08+00:00; +6h40m06s from scanner time.
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: certified.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2025-04-27T01:43:07+00:00; +6h40m06s from scanner time.
| ssl-cert: Subject: commonName=DC01.certified.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.certified.htb
| Not valid before: 2024-05-13T15:49:36
|_Not valid after:  2025-05-13T15:49:36
3269/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: certified.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=DC01.certified.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.certified.htb
| Not valid before: 2024-05-13T15:49:36
|_Not valid after:  2025-05-13T15:49:36
|_ssl-date: 2025-04-27T01:43:08+00:00; +6h40m06s from scanner time.
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
9389/tcp  open  mc-nmf        .NET Message Framing
49666/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49674/tcp open  msrpc         Microsoft Windows RPC
49683/tcp open  msrpc         Microsoft Windows RPC
49713/tcp open  msrpc         Microsoft Windows RPC
49735/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required
|_clock-skew: mean: 6h40m05s, deviation: 0s, median: 6h40m05s
| smb2-time: 
|   date: 2025-04-27T01:42:31
|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 230.93 seconds

Setup

Hosts

disini saya mendapatkan domain DC01.certified.htb dan certified.htb, selanjutnya saya akan menambahkannya ke /etc/hosts

Kerberos Clock

SMB

Folder and Permission

GPP Password

RID Username Enumeration

LDAP

Looking for password in Description

Collecting Bloodhound

Failed Attacking Attempt

Password Spray

AS-REP Roaasting

Initial Access

Bloodhound analysis

pada bloodhound, diketahui bahwa judith.mader memiliki writeOwner privilege ke management group. management group memiliki GenericWrite privilege ke management_svc user. management_svc memiliki GenericAll privilege ke CA_OPERATOR seperti yang dapat dilihat pada gambar dibawah ini

pada gambar diatas tersebut diketahui member dari management group adalah management_svc. mengingat judith.mader memiliki writeOwner privilege ke management group, disini saya akan menambahkan judith.mader sebagai member dari management group dan melakukan shadow credential ke management_svc.

judith.mader to management group

Abusing WriteOwner Privilege

disini saya akan menjadikan judith.mader sebagai owner dari management group dengan menggunakan impacket-owneredit

pada gambar diatas tersebut saya telah berhasil membuat judith.mader sebagai owner dari management groups.

Abusing Owns privilege

setelah judith.mader memiliki owns privilege ke management group, selanjutnya saya akan menambahkan privilege baru yaitu WriteMembers, yang dimana nantinya untuk menambahkan judith.mader sebagai member dari management group.

Abusing AddMember privilege

karena judith.mader sudah memiliki AddMember privielge jadi disini saya akan menambahkan judith.mader sebagai member management group dengan perintah berikut

disini saya sudah berhasil menambahkan judith.mader sebagai member dari management group.

Shadow Credential Attack

selanjutnya saya akan melakukan shadow credential attack dengan menggunakan certipy-ad untuk mendapatkan NT hash dari management_svc user

berhasil mendapatkan NT Hash management_svc

disini saya bisa langsung melakukan pass the hash dengan menggunakan evil-winrm

Management_svc to Ca_operator

karena management_svc memiliki GenericAll privilege ke ca_operator, disini saya dapat melakukan change password terhadap ca_operator dengan menggunakan pth-net

Move to Administrator

Detecting ADCS

Looking for vulnerable template

disini saya sudah memeriksa menggunakan user judith.mader, management_svc, dan ca_operator. judith.mader dan management_svc tidak menampilkan template yang vulnerable, namun ketika menggunakan user ca_operator disini saya mendapatkan template yang vulnerable terhadap ESC09

ESC09

ESC09 membutuhkan perubahakan userPrincipalName ke Administrator, disini saya menggunakan certipy-ad untuk mengubah userPrincipalName akun ca_operator

selanjutnya disini saya menggunakan mode req untuk mendapatkan file pdx

terakhir, saya menggunakan auth untuk mendapatkan administrator NTLM Hash

disini saya sudah mendapatkan NTLM Hash, selanjutnya saya melakukan pass the hash dengan evil-winrm

PreviousAdministratorNextManager

Last updated