Ledger: Um Guia Detalhado para Superar a Máquina Desafiadora do TryHackMe
Explore a fundo a máquina 'Ledger' do TryHackMe, focando na exploração de configurações incorretas do Active Directory Certificate Services (AD CS). Este guia detalha o processo de reconhecimento, exploração de vulnerabilidades como ESC1 e a obtenção de privilégios de administrador de domínio.
MundiX News·12 de maio de 2026·8 min de leitura·👁 6 views
A máquina 'Ledger' no TryHackMe apresenta um desafio complexo centrado em configurações incorretas dos Serviços de Certificados do Active Directory (AD CS). A fase inicial de reconhecimento, utilizando ferramentas como Nmap, revela um controlador de domínio (labyrinth.thm.local) com autenticação SMB null e LDAP habilitados. Essa configuração permite a exposição de credenciais de usuário em notas, abrindo caminho para a exploração.
Através da ferramenta certipy-ad, identificamos um template de certificado ServerAuth vulnerável à exploração ESC1. Essa vulnerabilidade permite que qualquer usuário autenticado solicite um certificado em nome do administrador de domínio. Com o certificado forjado, extraímos o hash NT do administrador e utilizamos psexec para obter uma shell com privilégios NT AUTHORITY SYSTEM. Uma rota de exploração alternativa envolve a autenticação Schannel via LDAP, útil quando a autenticação Kerberos PKINIT falha.
O processo de reconhecimento inicial com Nmap em 10.114.161.221 expõe diversas portas, incluindo DNS (53), HTTP (80), Kerberos (88), RPC (135), NetBIOS (139), LDAP (389, 636, 3268, 3269), SMB (445) e RDP (3389). A descoberta de que a porta 445 (SMB) permite autenticação null é crucial. Utilizando netexec com credenciais de 'guest', confirmamos a permissão de 'Null Auth'. A exploração via LDAP com as mesmas credenciais revela credenciais de usuário (IVY_WILLIS e SUSANNA_MCKNIGHT) nas notas, permitindo o acesso inicial via RDP como SUSANNA_MCKNIGHT e a obtenção do primeiro flag.
Após o acesso inicial, a ferramenta BloodHound é empregada para mapear a rede e identificar caminhos para a elevação de privilégios. A análise revela que os usuários Beverly ou Bradley são alvos ideais para a captura completa do domínio. A varredura com certipy-ad find confirma a vulnerabilidade ESC1 no template ServerAuth. A exploração ESC1 permite a emissão de um certificado de autenticação de cliente em nome de qualquer usuário do domínio, incluindo administradores. Três caminhos de solução são possíveis: forjar um certificado diretamente como administrador, solicitar um certificado em nome de um membro do grupo Domain Admins (como BRADLEY_ORTIZ) ou criar um novo usuário e adicioná-lo ao grupo Domain Admins.
Optamos por forjar um certificado em nome do administrador usando certipy-ad req, resultando no arquivo administrator.pfx. Com este arquivo, extraímos o hash NT do administrador via certipy-ad auth. Em seguida, utilizamos impacket-psexec -k com o hash para obter acesso como Administrator e capturar o segundo flag (root flag). Uma rota alternativa, caso a autenticação Kerberos PKINIT falhe devido a configurações de certificado no DC, é usar a autenticação Schannel via LDAP com o certificado forjado. Isso permite obter um shell e criar um novo usuário com privilégios administrativos, que pode então ser usado para obter o flag final via RDP.
Durante o processo, observamos que o certipy-ad pode apresentar erros de resolução DNS se não estiver configurado corretamente com o arquivo /etc/hosts. Além disso, a ferramenta rpcclient pode ser útil para obter informações adicionais, como SIDs, e em cenários onde patches como KB5014754 estão aplicados, a autenticação pode exigir o uso do SID do administrador. O mapeamento das táticas e técnicas do MITRE ATT&CK e a avaliação de CVSS para as vulnerabilidades encontradas complementam a análise técnica.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A máquina 'Ledger' no TryHackMe apresenta um desafio complexo centrado em configurações incorretas dos Serviços de Certificados do Active Directory (AD CS). A fase inicial de reconhecimento, utilizando ferramentas como Nmap, revela um controlador de domínio (labyrinth.thm.local) com autenticação SMB null e LDAP habilitados. Essa configuração permite a exposição de credenciais de usuário em notas, abrindo caminho para a exploração.
Através da ferramenta certipy-ad, identificamos um template de certificado ServerAuth vulnerável à exploração ESC1. Essa vulnerabilidade permite que qualquer usuário autenticado solicite um certificado em nome do administrador de domínio. Com o certificado forjado, extraímos o hash NT do administrador e utilizamos psexec para obter uma shell com privilégios NT AUTHORITY SYSTEM. Uma rota de exploração alternativa envolve a autenticação Schannel via LDAP, útil quando a autenticação Kerberos PKINIT falha.
O processo de reconhecimento inicial com Nmap em 10.114.161.221 expõe diversas portas, incluindo DNS (53), HTTP (80), Kerberos (88), RPC (135), NetBIOS (139), LDAP (389, 636, 3268, 3269), SMB (445) e RDP (3389). A descoberta de que a porta 445 (SMB) permite autenticação null é crucial. Utilizando netexec com credenciais de 'guest', confirmamos a permissão de 'Null Auth'. A exploração via LDAP com as mesmas credenciais revela credenciais de usuário (IVY_WILLIS e SUSANNA_MCKNIGHT) nas notas, permitindo o acesso inicial via RDP como SUSANNA_MCKNIGHT e a obtenção do primeiro flag.
Após o acesso inicial, a ferramenta BloodHound é empregada para mapear a rede e identificar caminhos para a elevação de privilégios. A análise revela que os usuários Beverly ou Bradley são alvos ideais para a captura completa do domínio. A varredura com certipy-ad find confirma a vulnerabilidade ESC1 no template ServerAuth. A exploração ESC1 permite a emissão de um certificado de autenticação de cliente em nome de qualquer usuário do domínio, incluindo administradores. Três caminhos de solução são possíveis: forjar um certificado diretamente como administrador, solicitar um certificado em nome de um membro do grupo Domain Admins (como BRADLEY_ORTIZ) ou criar um novo usuário e adicioná-lo ao grupo Domain Admins.
Optamos por forjar um certificado em nome do administrador usando certipy-ad req, resultando no arquivo administrator.pfx. Com este arquivo, extraímos o hash NT do administrador via certipy-ad auth. Em seguida, utilizamos impacket-psexec -k com o hash para obter acesso como Administrator e capturar o segundo flag (root flag). Uma rota alternativa, caso a autenticação Kerberos PKINIT falhe devido a configurações de certificado no DC, é usar a autenticação Schannel via LDAP com o certificado forjado. Isso permite obter um shell e criar um novo usuário com privilégios administrativos, que pode então ser usado para obter o flag final via RDP.
Durante o processo, observamos que o certipy-ad pode apresentar erros de resolução DNS se não estiver configurado corretamente com o arquivo /etc/hosts. Além disso, a ferramenta rpcclient pode ser útil para obter informações adicionais, como SIDs, e em cenários onde patches como KB5014754 estão aplicados, a autenticação pode exigir o uso do SID do administrador. O mapeamento das táticas e técnicas do MITRE ATT&CK e a avaliação de CVSS para as vulnerabilidades encontradas complementam a análise técnica.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
