> For the complete documentation index, see [llms.txt](https://ne0b1t3.gitbook.io/vault/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://ne0b1t3.gitbook.io/vault/prolabs/zephyr.md). # Zephyr ## Certification of Completition

Zephyr es una Pro Lab centrada en Active Directory, relaciones de confianza y pivoting bajo restricciones de red (firewall). Es cierto que incluye alguna que otra parte de hacking web y linux pero muy puntual.\ Como alguien que disfruta bastante todo lo relacionado con Active Directory, me gustó mucho… aunque sinceramente me esperaba algo bastante más retador en general. Lo que la diferencia de otras Pro Labs no es tanto la dificultad técnica aislada de cada máquina, sino el **contexto**: un entorno completamente Active Directory con firewalls que realmente limitan tu movimiento. *** ### Topología Aproximada al Laboratorio Empiezas desde el exterior, conectado por VPN a una **DMZ**. Desde ahí, un primer pivoting te lleva a una red interna con un dominio completo con su respectivo DC (Domain Controller), workstations y servidores.

\ Desde ese dominio, hay un **cross-forest trust** hacia otro dominio, que a su vez tiene un **parent-child trust** con su dominio hijo. En total, unos 5 saltos de pivoting en entornos cada vez más restrictivos.

### Campos que debes dominar antes de realizarlo Para enfrentarte a Zephyr tienes que estar bastante cómodo con cómo funcionan los componentes, mecanismos y flujos principales de Active Directory. No hace falta ser un experto en AD, pero sí tener automatizados los conceptos fundamentales. Si alguna de estas áreas te suena vaga, trabájala primero:

Área	Dificultad en Zephyr	Dónde practicar
Enumeración AD	baja	HTB machines: Forest, Active, Sauna
Kerberoasting / AS-REP	baja	HTB: Sauna, Vulnlab: Shinra
Abuso de ACLs	media	HTB: Object, BloodHound Community Edition labs
Relay attacks (NTLM)	media	HTB: Driver, OSCP PG: Hutch
Pivoting con Ligolo-ng	alta	Dante ProLab (recomendado antes de Zephyr)
Cross-domain trusts	media	HTB: Multimaster, RastaLabs ProLab
MSSQL attacks	alta	HTB: MedCorp, PentesterLab MSSQL path

*** ### Herramientas Principales Durante Zephyr no hay una sola herramienta dominante, sino un *stack* que vas combinando según la fase del ataque: enumeración, movimiento lateral, pivoting y post-explotación. #### Enumeración y Análisis Estas son las bases para entender el entorno antes de tocar nada: * **BloodHound****:** Imprescindible para visualizar relaciones en Active Directory (usuarios, grupos, ACLs, rutas de ataque). * Recolección de datos con `bloodhound-python`, `nxc --bloodhound`, `rusthound` o `rusthound-ce` (especialmente útil cuando hay AD CS). * **ldapsearch****:** Útil para enumeración LDAP directa cuando necesitas ver atributos de objetos sin abstracción. * **PowerView / powerview\.py****:** Enumeración profunda del dominio: sesiones, usuarios, grupos, ACLs, trusts, etc. Muy útil cuando tienes ejecución en el contexto de máquina comprometida. * **bloodyAD****:** Una de las herramientas más potentes del lab. Permite: * Enumerar Security Descriptors (SD) * Analizar y abusar ACLs * Modificar atributos en objetos de AD * Abuso de ADCS, delegaciones y permisos mal configurados\ Es especialmente útil porque baja al nivel “crudo” de Active Directory. #### Movimiento Lateral y Ejecución Remota * **NetExec (nxc)****:** Probablemente la herramienta más versátil para hacking: * Enumeración SMB/WinRM/MSSQL/FTP/SSH/LDAP * Ejecución remota * Dumping de credenciales/hashes * Coerciones NTLM * Apoyo en bloodhound ingestion * **Impacket suite****:** Kit esencial para Kerberos y movimiento lateral: * Solicitud de TGT/TGS (Silver Tickets) * Pass-the-Hash / Pass-the-Ticket * S4U2Self / S4U2Proxy * Delegaciones y abusos de Kerberos * Acceso a SMB/MSSQL/WinRM #### Pivoting y Captura de Tráfico * **Ligolo-ng** *(pieza clave del lab):* Es la herramienta principal que he utilizado. Dependiendo de cada situación deberemos utilizar la notación CIDR `.0/24` o `.x/32` si queremos especificar una única IP. Flujo típico: * Crear interfaz de túnel (`interface_create`) * Añadir rutas a nuevas subredes (`add_route`) * Levantar túnel (`tunnel_start`) * Añadir listener: `listener_add`
* **Responder****:** Envenenamiento de red para capturar autenticaciones NTLM. * **tcpdump****:** Captura de tráfico para análisis posterior en Wireshark. #### Ejecución Remota y Shells * **evil-winrm / evil-winrm-py****:** Acceso por WinRM cuando hay credenciales válidas. * **psexec / smbexec (Impacket) / wmiexec /wmiexec2** **:** Ejecución remota en contexto administrativo. * **nc64.exe (Netcat)****:** Alternativa simple y efectiva a payloads complejos cuando necesitas estabilidad o bypass de AV básico. #### Post Explotación y Dumping de Credenciales * **Secretsdump (Impacket) / Mimikatz / nxc /** **donPAPI / Seatbelt**: Aquí el enfoque no es solo escalar privilegios, sino maximizar la superficie de credenciales reutilizables. * **LSASS** dumping * **SAM** / **SYSTEM** / **NTDS** * **DPAPI** extraction * Credenciales en **navegadores** * **Autologon** / **scripts** / **tareas** programadas *** ### Pivoting Avanzado Uno de los aspectos más diferenciales de Zephyr es el **pivoting**, no tanto por su complejidad técnica sino por el contexto en el que se desarrolla. Aunque el número de saltos no supera al de Dante (se mantiene en torno a 5), el entorno resulta mucho más restrictivo. Aquí se empiezan a evidenciar elementos como: * **Segmentación de red realista**: dominios, subdominios y forests. * **Firewalls entre subredes** que condicionan activamente el movimiento lateral. * La necesidad de comprender qué **puertos** están **realmente accesibles** desde cada punto comprometido. * El **concepto de las interfaces de red (NIC)** y cómo estas determinan las posibilidades de pivoting. * El **descubrimiento progresivo de redes internas** conforme se avanza en el compromiso. Además, el uso de múltiples agentes de pivoting se vuelve constante. No basta con "tener un túnel funcionando" sino de de ajustarlo dinámicamente, entender qué tráfico se está canalizando, identificar por qué puertos puede pasar, y reconstruir rutas (listeners) según se progresa. Esto implica modificar sobre la marcha la notación CIDR y las direcciones IP de los hosts en función de la situación. *** ### Técnicas Principales | Área | Conceptos y técnicas principales | | --------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Enumeración profunda del dominio** |

• Usuarios, grupos y descripciones
• ACLs y permisos
• OUs y estructura organizativa
• Atributos de objetos
• Delegaciones y relaciones implícitas

| | **Relay Attacks y abuso de NTLM** |

• Captura de hashes NTLM en red
• Uso de UNC paths para forzar autenticaciones
• Responder e Inveigh en entornos aislados
• Preparación de herramientas offline (Impacket, binarios estáticos)

| | **Trusts y movimiento lateral entre dominios** |

• Trusts entre dominios y subdominios
• Parent-child trusts
• Forest trusts
• Cuentas en contextos confiados
• Golden Tickets inter-realm
• SID History Injection
• Abuso de relaciones de confianza

| | **Abuso de Kerberos** |

• Kerberoasting (Clásica y con No-Preauth)
• AS-REP Roasting
• Delegaciones (S4U2Self / S4U2Proxy)
• Shadow Credentials
• Silver Tickets
• Golden Tickets

| | **Abuso de ACLs** |

• GenericWrite / GenericAll
• AddMember / AddSelf
• ForceChangePassword
• WriteDACL
• Encadenamiento de permisos para escalada

| | **MSSQL Attacks** |

• Trustworthy abuse
• Linked Servers
• Impersonación de usuarios
• Extracción de datos desde bases de datos

| | **Exfiltración y dumping de credenciales** |

• DPAPI
• SAM / LSASS / NTDS
• Secrets del sistema
• Credenciales en navegadores
• Autologon y scripts
• Tareas programadas

| | **Bypass de AV y firewall** |

• Desactivar Defender / AMSI
• Modificar o deshabilitar firewall
• Añadir exclusiones a herramientas ofensivas
• Habilitar servicios (RDP, SMB, WinRM)

| {% hint style="info" %} Cabe destacar que Zephyr cuenta con equipos con Defender pero no son tan restrictivos y tampoco parecen estár actualizados por lo que herramientas como nc64.exe serán tu mejor aliado para obtener reverse shells.\ \ De la misma forma, no es estrictamente necesario el uso de un C2, pero puedes apoyarte en herramientas como Metasploit/Meterpreter para tareas de dumping, explotación o tunneling. {% endhint %} *** ### Lección Aprendida Con Zephyr pude poner en práctica una gran cantidad de técnicas relacionadas con Active Directory: abuso de **ACLs**, **delegaciones**, **Kerberos**, **trusts** entre dominios, **MSSQL**, **relay** attacks y **movimiento lateral**. \ Sin embargo, la mayoría de estos conceptos ya formaban parte de mi día a día, por lo que la dificultad técnica no me resultó especialmente elevada, y en cierto modo, lo percibí como "fácil". Donde realmente encontré el **desafío** y me quedé estancado fue en el pivoting bajo segmentación de red y restricciones de firewall.\ Personalmente, fue la parte que más me aportó y la que más se aleja de los escenarios simplificados que suelen encontrarse en máquinas individuales o laboratorios más pequeños. Cuando despliegas un agente en una máquina víctima, normalmente esta suele contar con dos interfaces de red: * La primera es la interfaz de red física o virtual (NIC, *Network Interface Card*), que es el adaptador de red del sistema y la que te proporciona conectividad inicial, ya sea a través de VPN o mediante otro agente. * La segunda interfaz aparece al pivotar, y es la que te permite acceder a una nueva subred donde descubres nuevos hosts. Una **NIC** (*Network Interface Card*) es el componente físico o virtual que conecta un sistema a una red. Cada interfaz posee una dirección IP perteneciente a una subred determinada, y esa pertenencia condiciona cómo otros equipos interpretan el origen del tráfico (por ejemplo, si eres considerado un host “interno” o “externo”). El problema surge cuando comprometes una máquina que únicamente tiene una NIC en una sola subred (por ejemplo, `172.12.1.0/24`), pero que al mismo tiempo puede comunicarse con otra subred (`172.12.2.0/24`) sin disponer de una segunda interfaz física o virtual asignada a esa red. En estos escenarios entran en juego **políticas de firewall internas**, ya sean locales o aplicadas mediante GPO, que restringen el acceso a ciertos puertos y servicios cuando la conexión no proviene de un host perteneciente a la subred correspondiente. Es decir, el tráfico puede ser bloqueado si el equipo de origen no “pertenece” a esa red de forma directa, es decir, si su NIC no está dentro de esa subred. Esto te lleva a situaciones en las que es necesario comprometer primero una máquina que sí tenga una NIC válida dentro de la subred objetivo (`172.12.2.0/24`), para que el resto del dominio y los sistemas la traten como un host interno y de confianza. \ Solo entonces es posible continuar con el movimiento lateral y el pivoting de forma efectiva. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://ne0b1t3.gitbook.io/vault/prolabs/zephyr.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.