まずnmapから
Kerberos認証があるのでおそらくActiveDirectry。とりあえずsmbclientでフォルダを見てみる。
Replicationにアクセスしてみるとactive.htbのフォルダがあったので、フォルダごとダウンロードした。中身を見てみるとGroups.xmlというファイルが興味深い。
Groups.xmlにはSVC_TGDというusernameと、暗号化されたCpasswordがある。Cpassword decryptで検索して出てきたgpp-decryptを使うとパスワードが入手できた。
smbmapを見るとUsersにアクセスできるようだ。まずuser.txtをゲット。
ImpacketにはKerberosユーザーやクラック可能なチケットを調べるGetUserSPNs.pyというツールがある。これを使って取得できるチケットがないか調べるとAdministarのパスワードが入手できた。
これはhashcat用なのでhashcatで復号化するとAdminの認証情報が手に入る。