Active - HackTheBox

开局先扫描，可以看到经典的SMB、RPC、LDAP。都是我们信息收集的目标

Get User Flag

发现了一个可读的共享

把文件下载下来，发现是两个组策略文件，其中一个文件包含用户名密码

使用gpp-decrypt进行解密

此时我们拥有了用户名active.htb\SVC_TGS和密码GPPstillStandingStrong2k18

获得User Flag

Get Root Flag

BloodHound信息收集一波

简单看了一下我们的SVC_TGS用户并不在其中，我的理解BloodHound是用来发现各种权限存在的风险的，这里可能没有。（我也不是很懂，欢迎大佬指正）

Kerberoasting

我们拥有一个用户密码，可以试一下Kerberoasting攻击。

原理： Kerberoasting攻击主要是利用Kerberos认证中的第四步：TGS_REP，这一步会返回由目标服务实例的NTLM Hash加密的TGS票据，加密算法为RC4-HMAC

我们可以通过爆破该TGS票据获得服务的NTLM Hash，这里打的是CIFS服务

使用john进行爆破，爆破成功，我们获得了Administrator的密码：Ticketmaster1968

直接smb拿到root.txt