เริ่มต้นจากการที่เราได้ credential test:test จาก comment ใน html ของหน้า index.php ซึ่งทำให้เรา login ด้วยสิทธิ user ได้ ซึ่งเราก็ได้พบ API endpoint เพิ่มเตืมจากไฟล์ javascript ที่อยู่ในหน้า page ทำให้เราสามารถเรียก endpoint ที่ List รายชื่อ user ในระบบออกมาได้ รวมถึงข้อมูลต่างๆ ของ user นั้นด้วย ซึ่งตัว secret key ที่ใช้ sign JWT ของ function remember me นั้น ใช้คำที่อยู่ใน rockyou.txt ทำให้เราสามารถ หาค่าของ secret key นั้นได้ เลยทำให้สามารถ impersonate เป็น user ที่มีสิทธิ admin ได้ และทำให้เข้าหน้า admin.php ได้ โดยในหน้านั้นเราสามารถ bypass input validation ด้วย newline หรือ linefeed character ได้ ทำให้ได้รับ flag ครบทั้งสอง flag
Certified เป็นเครื่อง AD ระดับความยากปานกลาง ที่เป็นแบบ Assumed Breach scenario. ซึ่งจากผลของ Bloodhound เราก็จะเห็นว่า user ที่ให้มา ( judith.mader) มีสิทธิ write owner บน group management ซึ่งทำให้เราสามารถเพิ่มตัวเองเป็น management group พอดูต่อก็จะพบว่า group นี้มีสิทธิ GenericWrite บน management_svc account ซึ่งเราก็อาจจะทำ shadow credential เพื่อเอา HASH มาเข้า WinRM เพื่อได้ User flag ส่วนขั้น root เราก็จะใช้การโจมตี ADCS ประเภท ESC9 โดยใช้ tool ที่ชื่อว่า certipy เพื่อยกสิทธิตัวเองเป็น Domain Admin แล้วก็จบบบ