🪟 Тот SAM так называется 🪟 Представьте ситуацию, когда вы видите множественные события 4662 с характерными для DCSync GUID из-под учётной записи доменного администратора. Вы начинаете раскручивать цепочку, фиксируете аутентификацию по Kerberos под УЗ этого администратора, но не находите ни одного запроса билета от его имени. И тут ваше внимание привлекает запрос TGT и ST с типом шифрования 0x12 (AES256) на контроллере домена от, казалось бы, от самого контроллера домена... О такой цепочке мы и поговорим подробнее в этой статье. Речь пойдет о двух небезызвестных уязвимостях, позволяющих 🕵️‍♀️алировать привилегии в домене за несколько простых шагов. Посмотрим на атаку глазами красной команды и научимся искать артефакты, побыв на стороне защиты🔓 #AD