Adagio é uma máquina Windows de média dificuldade que apresenta alguns erros comuns de configuração do Active Directory que levam ao acesso do Administrador de Domínio em uma máquina Controladora de Domínio. O acesso inicial é obtido através do ASREPRoasting, depois a reutilização de senhas permite a movimentação lateral para um segundo usuário.

Seguindo um caminho revelado pelo BloodHound, é possível obter acesso a um usuário com maior privilégio que possui acesso de escrita genérico ao objeto de computador do DC, permitindo um ataque de Delegação Limitada Baseada em Recursos. O método de ataque usual é impedido pela configuração do ms-DS-MachineAccountQuota, portanto, uma abordagem alternativa deve ser seguida.

Sofá é uma máquina Linux de fácil dificuldade que apresenta uma vulnerabilidade de execução remota de código no Apache CouchDB versão 3.2.1, que possui um CVE atribuído como CVE-2022-24706. Um adversário pode acessar uma instalação padrão mal configurada sem autenticação e obter privilégios de administrador.

Valuta é uma máquina Linux de média dificuldade que apresenta múltiplas vulnerabilidades que levam ao pagamento ilegítimo de um produto. Isso é feito através da manipulação de cookies e da exploração de conversões de moeda incorretas.

As máquinas da comunidade aposentadas de 20 de dezembro a 16 de janeiro estão detalhadas abaixo.

Uma máquina fácil de dificuldade Linux que apresenta um site com um painel de login e uma funcionalidade de busca de usuário