NTLM relay ADCS что дальше?

[sect adept]

Всех категорически приветствую, господа. Получил NT Hash, я так понимаю, машинной учетки DC. Не пойму что делать дальше?
Собственно, с помощью гиппопотама получил серт, который сохранился в DC1$.pfx.

Спойлер: Скрин 1

Потом получил билет кербероса с помощью серта

Спойлер: Скрин 2

Далее с помощью билета получил хеш

Спойлер: Скрин 3

С помощью билета пытаюсь зайти через smbclient, но получаю ошибку

Спойлер: Скрин 4

Не понимаю также как мне зайти на DC с помощью хеша? Пытался выпустить Silver Ticket, но хз какой spn указывать...

 

[sect adept]

P.S. Проблему решил самостоятельно. Сдампил всего лишь секреты из DC с помощью хеша машинной учетки DC))

Спойлер: Скрин

 

[picofmoon]

Если подключение к впн, на подключенной виртуалке команда по типу? python3 ntlmrelayx.py -t http://<ADCS_сервер>/certsrv/certfnsh.asp -smb2support --adcs --template User
Или даже ntlmrelayx.py -t ldaps://<ADCS_сервер> --add-computer
Как дальше быть? В цепочке должнен быть внешний сервер?

 

[Dwight149]

Если подключение к впн, на подключенной виртуалке команда по типу? python3 ntlmrelayx.py -t http://<ADCS_сервер>/certsrv/certfnsh.asp -smb2support --adcs --template User
Или даже ntlmrelayx.py -t ldaps://<ADCS_сервер> --add-computer
Как дальше быть? В цепочке должнен быть внешний сервер?

после того как запустил ntlmrelayx.py, этого мало. Нужно, чтобы кто-то отправил тебе NTLM-аутентификацию. Само ничего не произойдёт

 

[picofmoon]

после того как запустил ntlmrelayx.py, этого мало. Нужно, чтобы кто-то отправил тебе NTLM-аутентификацию. Само ничего не произойдёт

Спасибо за ответ
Я сначала запустил респондер на внешнем сервере, использовал petitpotam с сервера, с которого подключился к впн. Пришел ntlmv1-ssp хэш. Далее решил попробовать с сертификатом поработать
Тут по той же схеме, заместно респондера запускаю ntlmrelayx.py, далее petitpotam так-же