Решение задачки #6

Итак, у нас есть доменная учетная запись PENTESTER, с помощью которой мы можем обращаться к контроллеру домена. Есть сервисная учетная запись учетная запись SVC_SQL с SPN, и мы можем выполнить технику "Kerberoasting". Однако по условиям задачи на эту учетную запись установлен сложный пароль и перебор пароля если и возможен, то займет много времени.

Так же мы видим, что группа доменных компьютеров владеет сервером SRV-SQL-01. Это означает, что владелец объекта может назначать любые права для объекта SRV-SQL-01. Но для этого требуется учетная запись компьютера.

По условию задачи все настройки установлены по умолчанию. А значит создаем объект компьютер и с помощью него назначаем себе любые привилегии на SRV-SQL-01. Для удобства "GenericAll".

Назначив права, нам необходимо получить доступ на хост. Выбираем технику между "Shadow Credentials" и "RBCD". Пароль сбросить мы не можем так, как в этом случае машина «выпадет» из домена.

После получения доступа на хост с правами локального администратора, делаем дамп LSA и извлекаем из него секреты. В результате мы получим пароль от сервисной учетной записи SVC_SQL в открытом виде. И таким образом у нас есть права доменного администратора.