まずnmapから

Kerberos認証があるのでおそらくActiveDirectry。とりあえずsmbclientでフォルダを見てみる。

Replicationにアクセスしてみるとactive.htbのフォルダがあったので、フォルダごとダウンロードした。中身を見てみるとGroups.xmlというファイルが興味深い。

Groups.xmlにはSVC_TGDというusernameと、暗号化されたCpasswordがある。Cpassword decryptで検索して出てきたgpp-decryptを使うとパスワードが入手できた。

smbmapを見るとUsersにアクセスできるようだ。まずuser.txtをゲット。

　ImpacketにはKerberosユーザーやクラック可能なチケットを調べるGetUserSPNs.pyというツールがある。これを使って取得できるチケットがないか調べるとAdministarのパスワードが入手できた。

これはhashcat用なのでhashcatで復号化するとAdminの認証情報が手に入る。