<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Ad on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</title><link>https://hackita.it/tags/ad/</link><description>Recent content in Ad on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</description><generator>Hugo</generator><language>it</language><lastBuildDate>Mon, 16 Mar 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://hackita.it/tags/ad/index.xml" rel="self" type="application/rss+xml"/><item><title>LDAP Injection: Bypass Autenticazione Active Directory e Enumerazione Utenti</title><link>https://hackita.it/articoli/ldap-injection/</link><pubDate>Mon, 16 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/ldap-injection/</guid><description>&lt;p&gt;Ogni grande azienda usa LDAP. Letteralmente ogni grande azienda. Active Directory, OpenLDAP, FreeIPA — il protocollo LDAP è il cuore dell&amp;rsquo;autenticazione e della gestione utenti in ambiente enterprise. Quando un dipendente inserisce username e password nel portale aziendale — webmail, VPN portal, intranet, helpdesk, CRM — l&amp;rsquo;applicazione spesso verifica le credenziali con una &lt;strong&gt;query LDAP&lt;/strong&gt; verso il Domain Controller. Se quella query è costruita concatenando l&amp;rsquo;input dell&amp;rsquo;utente senza sanitizzazione, l&amp;rsquo;attaccante può manipolare la logica del filtro LDAP esattamente come nella SQL Injection si manipola la query SQL.&lt;/p&gt;</description></item><item><title>ESC15 ADCS (CVE-2024-49019): EKUwu e Injection di Application Policies</title><link>https://hackita.it/articoli/adesc15-adcs/</link><pubDate>Tue, 10 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/adesc15-adcs/</guid><description>&lt;p&gt;ESC15 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; scoperta da &lt;strong&gt;Justin Bollinger (TrustedSec)&lt;/strong&gt; e identificata come &lt;strong&gt;CVE-2024-49019&lt;/strong&gt;, soprannominata dalla community &lt;strong&gt;EKUwu&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Questa vulnerabilità colpisce &lt;strong&gt;Certificate Authority non patchate (pre-Novembre 2024)&lt;/strong&gt; e permette a un attaccante di &lt;strong&gt;iniettare Application Policies arbitrarie dentro un certificato emesso da template V1&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;In pratica l’attaccante può &lt;strong&gt;aggiungere EKU non previsti dal template&lt;/strong&gt;, ottenendo capacità che il template non dovrebbe concedere.&lt;/p&gt;
&lt;p&gt;Esempio tipico:&lt;/p&gt;</description></item><item><title>ESC16 ADCS: CA con SID Security Extension Disabilitata</title><link>https://hackita.it/articoli/esc16-adcs/</link><pubDate>Tue, 10 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc16-adcs/</guid><description>&lt;p&gt;ESC16 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; in cui la &lt;strong&gt;Certificate Authority è configurata per disabilitare globalmente la SID security extension&lt;/strong&gt; nei certificati emessi.&lt;/p&gt;
&lt;p&gt;Questa estensione:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;pre tabindex="0"&gt;&lt;code&gt;1.3.6.1.4.1.311.25.2&lt;/code&gt;&lt;/pre&gt;
&lt;/div&gt;
&lt;p&gt;(&lt;code&gt;szOID_NTDS_CA_SECURITY_EXT&lt;/code&gt;)&lt;/p&gt;
&lt;p&gt;contiene il &lt;strong&gt;SID dell’account AD&lt;/strong&gt; e viene usata dai Domain Controller per il &lt;strong&gt;strong certificate mapping&lt;/strong&gt; introdotto con gli update di sicurezza del 2022 (KB5014754).&lt;/p&gt;</description></item><item><title>ESC10 ADCS: Privilege Escalation tramite Weak Certificate Mapping Schannel</title><link>https://hackita.it/articoli/esc10-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc10-adcs/</guid><description>&lt;p&gt;ESC10 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta &lt;strong&gt;weak certificate mapping in Schannel authentication&lt;/strong&gt;. Schannel è il componente Windows usato per TLS authentication su servizi come &lt;strong&gt;LDAPS, IIS HTTPS e altri servizi TLS enterprise&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;A differenza di &lt;strong&gt;Kerberos PKINIT&lt;/strong&gt;, il comportamento di Schannel non dipende dal parametro &lt;code&gt;StrongCertificateBindingEnforcement&lt;/code&gt;, ma dalla configurazione del registro:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;div class="highlight"&gt;&lt;pre tabindex="0" class="chroma"&gt;&lt;code class="language-text" data-lang="text"&gt;&lt;span class="line"&gt;&lt;span class="cl"&gt;HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\CertificateMappingMethods&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Se questo valore include il flag &lt;strong&gt;0x4 (UPN mapping)&lt;/strong&gt;, Schannel può mappare un certificato a un account Active Directory &lt;strong&gt;solo usando l’UPN nel certificato&lt;/strong&gt;, ignorando il SID contenuto nella security extension.&lt;/p&gt;</description></item><item><title>ESC11 ADCS: NTLM Relay verso RPC Enrollment della Certificate Authority</title><link>https://hackita.it/articoli/esc11-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc11-adcs/</guid><description>&lt;p&gt;ESC11 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta &lt;strong&gt;NTLM Relay verso l’interfaccia RPC della Certificate Authority&lt;/strong&gt;. A differenza di &lt;a href="https://hackita.it/articoli/esc8-adcs"&gt;ESC8&lt;/a&gt;, che colpisce gli endpoint web &lt;code&gt;/certsrv/&lt;/code&gt;, ESC11 prende di mira direttamente l’interfaccia &lt;strong&gt;RPC usata dai client per richiedere certificati&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Questa interfaccia utilizza RPC per operazioni di enrollment tramite API come:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;ICertRequestD&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;ICertPassage&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;interfaccia ICPR (ICertPassage Remote)&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Il problema nasce quando la CA &lt;strong&gt;non richiede encryption per le richieste RPC&lt;/strong&gt;. In condizioni sicure la CA dovrebbe imporre il livello di autenticazione:&lt;/p&gt;</description></item><item><title>ESC12 ADCS: Compromissione della CA tramite YubiHSM2</title><link>https://hackita.it/articoli/esc12-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc12-adcs/</guid><description>&lt;p&gt;ESC12 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che riguarda un caso molto specifico: l’uso di &lt;strong&gt;YubiHSM2 per proteggere la chiave privata della Certificate Authority&lt;/strong&gt;. A differenza delle altre tecniche ESC, qui il problema non è una misconfiguration di AD CS ma una possibile &lt;strong&gt;vulnerabilità nel software stack del dispositivo HSM&lt;/strong&gt; o nella sua integrazione con il server CA.&lt;/p&gt;
&lt;p&gt;In alcune ricerche della community (in particolare quelle di &lt;strong&gt;Hans-Joachim Knobloch&lt;/strong&gt;) è stato dimostrato che, in determinate condizioni, un attaccante con &lt;strong&gt;accesso shell a basso privilegio sul server della CA&lt;/strong&gt; potrebbe riuscire a interagire con il &lt;strong&gt;YubiHSM2 Key Storage Provider (KSP)&lt;/strong&gt; in modo non previsto.&lt;/p&gt;</description></item><item><title>ESC13 ADCS: Privilege Escalation tramite Issuance Policy OID</title><link>https://hackita.it/articoli/esc13-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc13-adcs/</guid><description>&lt;p&gt;ESC13 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta una configurazione pericolosa tra &lt;strong&gt;Issuance Policy OID e gruppi Active Directory&lt;/strong&gt;. In questo scenario un template di certificato include una &lt;strong&gt;Issuance Policy OID&lt;/strong&gt; che, nella configurazione PKI di Active Directory, è collegata a un &lt;strong&gt;gruppo AD tramite l’attributo &lt;code&gt;msDS-OIDToGroupLink&lt;/code&gt;&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Quando un utente autentica tramite certificato (PKINIT), il &lt;strong&gt;KDC legge l’OID presente nel certificato&lt;/strong&gt; e verifica se quell’OID è collegato a un gruppo. Se esiste un collegamento, il &lt;strong&gt;SID del gruppo viene aggiunto al Kerberos TGT&lt;/strong&gt; all’interno del PAC.&lt;/p&gt;</description></item><item><title>ESC14 ADCS: Weak Explicit Certificate Mapping via altSecurityIdentities</title><link>https://hackita.it/articoli/adesc14-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/adesc14-adcs/</guid><description>&lt;p&gt;ESC14 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta configurazioni deboli dell’attributo &lt;strong&gt;&lt;code&gt;altSecurityIdentities&lt;/code&gt;&lt;/strong&gt; negli oggetti Active Directory. Questo attributo permette di creare &lt;strong&gt;explicit certificate mapping&lt;/strong&gt;, cioè associare manualmente un certificato X.509 a un account AD per l’autenticazione.&lt;/p&gt;
&lt;p&gt;Quando &lt;code&gt;altSecurityIdentities&lt;/code&gt; è configurato, Active Directory può usare questa associazione &lt;strong&gt;per autenticare direttamente l’utente tramite certificato&lt;/strong&gt;, bypassando i normali meccanismi di mapping basati su:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;SAN UPN&lt;/li&gt;
&lt;li&gt;DNS name&lt;/li&gt;
&lt;li&gt;SID security extension&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Il problema nasce quando la stringa di mapping è &lt;strong&gt;troppo generica o facilmente replicabile&lt;/strong&gt;. In questo caso un attaccante può ottenere o creare un certificato con gli stessi attributi e &lt;strong&gt;impersonare l’account associato&lt;/strong&gt;.&lt;/p&gt;</description></item><item><title>ESC3 ADCS Privilege Escalation: Exploit Active Directory con Certipy</title><link>https://hackita.it/articoli/esc3-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc3-adcs/</guid><description>&lt;p&gt;ESC3 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta i &lt;strong&gt;Enrollment Agent certificates&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Un &lt;strong&gt;Enrollment Agent&lt;/strong&gt; è un account autorizzato a richiedere certificati &lt;strong&gt;per conto di altri utenti&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Se un attaccante riesce a ottenere un certificato con EKU:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;pre tabindex="0"&gt;&lt;code&gt;1.3.6.1.4.1.311.20.2.1
Certificate Request Agent&lt;/code&gt;&lt;/pre&gt;
&lt;/div&gt;
&lt;p&gt;può richiedere certificati &lt;strong&gt;per qualsiasi utente del dominio&lt;/strong&gt;, inclusi &lt;strong&gt;Domain Admin&lt;/strong&gt;.&lt;/p&gt;</description></item><item><title>ESC5 ADCS Privilege Escalation: Golden Certificate e CA Compromise con Certipy</title><link>https://hackita.it/articoli/esc5-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc5-adcs/</guid><description>&lt;p&gt;ESC5 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta &lt;strong&gt;ACL deboli su oggetti PKI in Active Directory&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;A differenza di:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;ESC4 → ACL sui certificate template&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ESC7 → permessi sulla CA&lt;/strong&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;ESC5 riguarda &lt;strong&gt;altri oggetti PKI nel Configuration container&lt;/strong&gt;.&lt;/p&gt;
&lt;hr&gt;
&lt;h1
 id="dove-si-trovano-questi-oggetti" class="group/anchor-heading"&gt;
 Dove si trovano questi oggetti
 &lt;a href="#dove-si-trovano-questi-oggetti" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Gli oggetti PKI sono salvati in:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;pre tabindex="0"&gt;&lt;code&gt;CN=Public Key Services,CN=Services,CN=Configuration&lt;/code&gt;&lt;/pre&gt;
&lt;/div&gt;
&lt;p&gt;Esempi importanti:&lt;/p&gt;</description></item><item><title>ESC6 ADCS Privilege Escalation: SAN Injection tramite CA Flag (Certipy Exploit)</title><link>https://hackita.it/articoli/esc6-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc6-adcs/</guid><description>&lt;p&gt;ESC6 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che non colpisce i template ma direttamente la &lt;strong&gt;Certificate Authority&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Quando la CA ha attivo il flag &lt;code&gt;EDITF_ATTRIBUTESUBJECTALTNAME2&lt;/code&gt;, gli utenti possono specificare &lt;strong&gt;Subject Alternative Name (SAN) arbitrari&lt;/strong&gt; nelle richieste di certificato. Questo comportamento agisce come un &lt;strong&gt;override globale della CA&lt;/strong&gt;, permettendo di inserire UPN o SID personalizzati anche su template che normalmente non lo consentirebbero.&lt;/p&gt;
&lt;p&gt;Nelle infrastrutture moderne patchate (post maggio 2022) &lt;strong&gt;ESC6 da solo non è sufficiente&lt;/strong&gt; per impersonare altri utenti. Deve essere combinato con &lt;a href="https://hackita.it/articoli/esc9-adcs"&gt;ESC9 ADCS&lt;/a&gt; o &lt;a href="https://hackita.it/articoli/esc16-adcs"&gt;ESC16 ADCS&lt;/a&gt;, che rimuovono la &lt;strong&gt;SID Security Extension&lt;/strong&gt; dal certificato.&lt;/p&gt;</description></item><item><title>ESC7 ADCS: Privilege Escalation Tramite Manage CA su Active Directory</title><link>https://hackita.it/articoli/esc7-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc7-adcs/</guid><description>&lt;p&gt;ESC7 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che deriva da permessi pericolosi direttamente sulla &lt;strong&gt;Certificate Authority&lt;/strong&gt;. In particolare quando un attaccante ottiene diritti come &lt;strong&gt;Manage CA&lt;/strong&gt; o &lt;strong&gt;Manage Certificates&lt;/strong&gt;, che permettono di controllare il comportamento della CA e il processo di emissione dei certificati.&lt;/p&gt;
&lt;p&gt;Il permesso &lt;strong&gt;Manage CA (ManageCa)&lt;/strong&gt; è il più critico. Consente di modificare la configurazione della CA, pubblicare template, assegnare ruoli (come Certificate Officer), avviare o fermare il servizio CA e modificare la sicurezza. Con questo livello di accesso un attaccante può forzare l&amp;rsquo;emissione di certificati arbitrari e ottenere accesso completo al dominio.&lt;/p&gt;</description></item><item><title>AD CS Privilege Escalation: Tutte le Tecniche ESC1–ESC16 con Certipy (Active Directory Attack Guide)</title><link>https://hackita.it/articoli/adcs-esc1-esc16/</link><pubDate>Fri, 06 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/adcs-esc1-esc16/</guid><description>&lt;p&gt;Active Directory Certificate Services (&lt;strong&gt;AD CS&lt;/strong&gt;) è uno dei vettori più potenti di &lt;strong&gt;privilege escalation in Active Directory&lt;/strong&gt;. Una singola misconfiguration nei certificate template o nella Certificate Authority può permettere a un utente di dominio di autenticarsi come &lt;strong&gt;Domain Admin&lt;/strong&gt; — spesso con un solo comando.&lt;/p&gt;
&lt;p&gt;Le tecniche &lt;strong&gt;ESC1–ESC16&lt;/strong&gt; sfruttano errori di configurazione nei template di certificato, nella CA e nel certificate mapping dei Domain Controller. In molti ambienti aziendali queste debolezze restano presenti per anni senza essere auditate, rendendo AD CS una delle superfici di attacco più efficaci nei penetration test interni.&lt;/p&gt;</description></item><item><title>ESC1 ADCS Privilege Escalation: Exploit Active Directory con Certipy</title><link>https://hackita.it/articoli/esc1-adcs/</link><pubDate>Fri, 06 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc1-adcs/</guid><description>&lt;p&gt;ESC1 è la &lt;strong&gt;misconfigurazione più classica e pericolosa di AD CS&lt;/strong&gt;. Permette a un utente con pochi privilegi di &lt;strong&gt;ottenere un certificato impersonando qualsiasi account del dominio&lt;/strong&gt;, inclusi &lt;strong&gt;Domain Admin&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Il problema nasce quando un &lt;strong&gt;certificate template consente all&amp;rsquo;utente di specificare manualmente l&amp;rsquo;identità nel certificato&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Se il template permette di inserire un &lt;strong&gt;UPN arbitrario nel SAN&lt;/strong&gt;, l&amp;rsquo;attaccante può richiedere un certificato per:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;div class="highlight"&gt;&lt;pre tabindex="0" class="chroma"&gt;&lt;code class="language-text" data-lang="text"&gt;&lt;span class="line"&gt;&lt;span class="cl"&gt;administrator@corp.local&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;e autenticarsi come Administrator.&lt;/p&gt;</description></item><item><title>ESC2 ADCS Privilege Escalation: Exploit Active Directory con Certipy</title><link>https://hackita.it/articoli/esc2-adcs/</link><pubDate>Fri, 06 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc2-adcs/</guid><description>&lt;p&gt;ESC2 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che nasce quando un certificate template permette di ottenere un certificato con &lt;strong&gt;Any Purpose EKU&lt;/strong&gt; oppure &lt;strong&gt;nessun EKU definito&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;In pratica il certificato può essere usato per &lt;strong&gt;qualsiasi scopo&lt;/strong&gt;, inclusi:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;client authentication&lt;/li&gt;
&lt;li&gt;server authentication&lt;/li&gt;
&lt;li&gt;code signing&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;enrollment agent&lt;/strong&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;OID dell’Any Purpose EKU:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;pre tabindex="0"&gt;&lt;code&gt;2.5.29.37.0&lt;/code&gt;&lt;/pre&gt;
&lt;/div&gt;
&lt;p&gt;Questo implica automaticamente anche:&lt;/p&gt;</description></item><item><title>Active Directory Pentesting 2026: Guida Completa a Kerberos, NTLM e Privilege Escalation</title><link>https://hackita.it/articoli/active-directory/</link><pubDate>Tue, 03 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/active-directory/</guid><description>&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;Active Directory Pentesting&lt;/strong&gt; è il processo con cui un pentester identifica un percorso reale da &lt;strong&gt;utente standard a Domain Admin&lt;/strong&gt; analizzando &lt;strong&gt;identità, permessi, relazioni, autenticazione e trust&lt;/strong&gt; in un dominio Windows.In Active Directory non conta quanti tool usi. Conta quanto bene capisci &lt;strong&gt;attack path, ACL, ticket Kerberos, NTLM, deleghe e trust&lt;/strong&gt;.&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;L’&lt;strong&gt;Active Directory Pentesting&lt;/strong&gt; non è “hackerare Windows”.&lt;br&gt;
È capire come si combinano &lt;strong&gt;&lt;a href="https://hackita.it/articoli/kerberos"&gt;Kerberos&lt;/a&gt;&lt;/strong&gt;, &lt;strong&gt;&lt;a href="https://hackita.it/articoli/ntlm"&gt;NTLM&lt;/a&gt;&lt;/strong&gt;, LDAP, ACL, GPO, deleghe, trust e &lt;strong&gt;&lt;a href="https://hackita.it/articoli/certipy"&gt;Certipy&lt;/a&gt;&lt;/strong&gt; (AD CS) per trasformare un accesso minimo in &lt;strong&gt;privilege escalation, lateral movement e controllo del dominio&lt;/strong&gt;.&lt;/p&gt;</description></item><item><title>Mimikatz: Guida Completa Credential Dumping e Active Directory Attack</title><link>https://hackita.it/articoli/mimikatz/</link><pubDate>Sat, 28 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/mimikatz/</guid><description>&lt;p&gt;Mimikatz è lo strumento più potente per il &lt;strong&gt;credential dumping su Windows&lt;/strong&gt; e il dominio di &lt;strong&gt;Active Directory&lt;/strong&gt;. Utilizzato in pentest e Red Team, permette di estrarre password in chiaro, hash NTLM e ticket Kerberos direttamente dalla memoria LSASS.&lt;/p&gt;
&lt;p&gt;Con Mimikatz puoi eseguire attacchi come &lt;strong&gt;&lt;a href="https://hackita.it/articoli/pass-the-hash"&gt;Pass-the-Hash&lt;/a&gt;&lt;/strong&gt;, &lt;strong&gt;&lt;a href="https://hackita.it/articoli/dcsync"&gt;DCSync&lt;/a&gt;&lt;/strong&gt; e &lt;strong&gt;&lt;a href="https://hackita.it/articoli/golden-ticket"&gt;Golden Ticket&lt;/a&gt;&lt;/strong&gt;, ottenendo accesso completo al dominio senza conoscere le password reali.&lt;/p&gt;
&lt;p&gt;In questa guida vedrai i &lt;strong&gt;comandi Mimikatz più importanti&lt;/strong&gt;, come usarli in scenari reali e come trasformare un accesso locale in compromissione totale dell’infrastruttura.&lt;/p&gt;</description></item><item><title>Smbmap: Enumerazione SMB e Share Discovery su Windows</title><link>https://hackita.it/articoli/smbmap/</link><pubDate>Fri, 27 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/smbmap/</guid><description>&lt;p&gt;&lt;strong&gt;Smbmap&lt;/strong&gt; enumera share SMB su sistemi Windows e Samba mostrando permessi di lettura/scrittura per ogni share, il tutto senza bisogno di autenticazione o con credenziali fornite. È il primo tool che lanci quando trovi porta 445 aperta — in pochi secondi sai quali share sono accessibili, con quali permessi, e puoi navigare i contenuti o eseguire comandi.&lt;/p&gt;
&lt;p&gt;A differenza di &lt;code&gt;smbclient&lt;/code&gt; che richiede connessione manuale a ogni share, Smbmap automatizza l&amp;rsquo;enumerazione e mostra una mappa completa dei permessi. Nella kill chain si posiziona tra la fase di &lt;strong&gt;Enumeration&lt;/strong&gt; e &lt;strong&gt;Credential Access&lt;/strong&gt; (MITRE ATT&amp;amp;CK T1135).&lt;/p&gt;</description></item><item><title>SMBExec: Esecuzione Remota Fileless su Windows via SMB</title><link>https://hackita.it/articoli/smbexec/</link><pubDate>Wed, 25 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/smbexec/</guid><description>&lt;p&gt;SMBExec è una tecnica di esecuzione comandi remota che sfrutta il Service Control Manager di Windows attraverso SMB, senza scrivere eseguibili sul disco del target. Parte della suite Impacket, rappresenta l&amp;rsquo;alternativa stealth a PsExec quando hai credenziali valide e vuoi minimizzare gli artefatti forensi. In questa guida impari a usare SMBExec per lateral movement in ambienti Active Directory, dalla connessione iniziale alla post-exploitation completa.&lt;/p&gt;
&lt;h2
 id="posizione-nella-kill-chain" class="group/anchor-heading"&gt;
 Posizione nella Kill Chain
 &lt;a href="#posizione-nella-kill-chain" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h2&gt;&lt;p&gt;SMBExec si colloca nella fase di lateral movement, dopo aver ottenuto credenziali valide tramite tecniche come credential harvesting con &lt;a href="https://hackita.it/articoli/mimikatz"&gt;Mimikatz&lt;/a&gt;, password spraying con &lt;a href="https://hackita.it/articoli/hydra"&gt;Hydra&lt;/a&gt;, o hash dumping. L&amp;rsquo;output di SMBExec alimenta direttamente la fase successiva: privilege escalation locale, credential dumping aggiuntivo, o persistenza.&lt;/p&gt;</description></item><item><title>Ldapsearch: Enumerazione LDAP e Active Directory da Linux</title><link>https://hackita.it/articoli/ldapsearch/</link><pubDate>Mon, 16 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/ldapsearch/</guid><description>&lt;p&gt;Ldapsearch è il client LDAP da linea di comando che interroga direttamente il database Active Directory. Ogni oggetto AD — utenti, computer, gruppi, GPO, OU — è accessibile via LDAP sulla porta 389 (o 636 per LDAPS). Con ldapsearch estrai attributi che &lt;a href="https://hackita.it/articoli/rpcclient"&gt;Rpcclient&lt;/a&gt; non raggiunge: &lt;code&gt;description&lt;/code&gt; (spesso contiene password), &lt;code&gt;servicePrincipalName&lt;/code&gt; (target per Kerberoasting), &lt;code&gt;userAccountControl&lt;/code&gt; (account disabilitati, no pre-auth), &lt;code&gt;memberOf&lt;/code&gt; e molto altro.&lt;/p&gt;
&lt;p&gt;Kill chain: &lt;strong&gt;Enumeration / Credential Access&lt;/strong&gt; (MITRE ATT&amp;amp;CK T1087.002).&lt;/p&gt;</description></item><item><title>Impacket: Toolkit Python per Attacchi SMB, Kerberos e Active Directory</title><link>https://hackita.it/articoli/impacket/</link><pubDate>Sun, 15 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/impacket/</guid><description>&lt;p&gt;Impacket è una suite Python sviluppata da Fortra (ex Core Security) che implementa manipulation di protocolli di rete Microsoft (SMB, MSRPC, LDAP, Kerberos) per operazioni offensive su ambienti Windows e Active Directory. La libreria fornisce accesso low-level ai protocolli permettendo exploitation avanzata come DCSync, pass-the-hash, Kerberos delegation attacks e SMB relay senza necessità di binari Windows nativi.&lt;/p&gt;
&lt;p&gt;La forza di Impacket risiede nella capacità di eseguire attacchi complessi da sistema Linux/macOS contro infrastrutture Windows, eliminando dipendenze da tooling Windows-based. Gli script della suite coprono l&amp;rsquo;intero ciclo di un engagement: da reconnaissance (GetADUsers.py) a lateral movement (psexec.py, wmiexec.py) fino a domain takeover (secretsdump.py per DCSync). Impacket si integra perfettamente con output di &lt;a href="https://hackita.it/articoli/responder"&gt;Responder&lt;/a&gt; per relay attacks e &lt;a href="https://hackita.it/articoli/hashcat"&gt;Hashcat&lt;/a&gt; per hash cracking.&lt;/p&gt;</description></item></channel></rss>