Kerberos

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

La skill extracting-credentials-from-memory-dump ayuda a analizar volcados de memoria de Windows para extraer hashes NTLM, secretos de LSA, material de Kerberos y tokens mediante flujos de trabajo con Volatility 3 y pypykatz. Está pensada para análisis forense digital y respuesta a incidentes cuando necesitas evidencia sólida, evaluar el impacto en cuentas y obtener orientación de remediación a partir de un volcado válido.

La skill exploiting-nopac-cve-2021-42278-42287 es una guía práctica para evaluar la cadena noPac (CVE-2021-42278 y CVE-2021-42287) en Active Directory. Ayuda a los equipos rojos autorizados y a los usuarios de Security Audit a comprobar requisitos previos, revisar archivos de flujo de trabajo y documentar la explotabilidad con menos suposiciones.

La skill de abuso de delegación restringida guía pruebas autorizadas en Active Directory sobre el abuso de la delegación restringida de Kerberos. Cubre el reconocimiento, las solicitudes de tickets S4U2self y S4U2proxy, y rutas prácticas para movimiento lateral o escalada de privilegios. Úsala cuando necesites una guía repetible para pruebas de penetración, no una visión general genérica de Kerberos.

detecting-pass-the-ticket-attacks ayuda a detectar actividad Kerberos Pass-the-Ticket correlando los Event IDs de Windows Security 4768, 4769 y 4771. Úsala para threat hunting en Splunk o Elastic y detectar reutilización de tickets, degradaciones a RC4 y volúmenes inusuales de TGS con consultas prácticas y guía de campos.

La skill detectando-kerberoasting-attacks ayuda a cazar Kerberoasting al identificar solicitudes Kerberos TGS sospechosas, cifrado débil de tickets y patrones de cuentas de servicio. Úsala para SIEM, EDR, EVTX y flujos de trabajo de Threat Modeling con plantillas de detección prácticas y orientación para ajustar reglas.

detecting-golden-ticket-forgery detecta la falsificación de Kerberos Golden Ticket mediante el análisis del Event ID 4769 de Windows, el uso de degradación a RC4 (0x17), duraciones anómalas de los tickets y anomalías de krbtgt en Splunk y Elastic. Está pensado para auditorías de seguridad, investigación de incidentes y threat hunting, con orientación práctica para la detección.

deploying-active-directory-honeytokens ayuda a los defensores a planificar y generar honeytokens de Active Directory para trabajos de auditoría de seguridad, incluidos cuentas privilegiadas falsas, SPN falsos para detectar Kerberoasting, trampas de GPO señuelo y rutas engañosas en BloodHound. Combina una guía orientada a la instalación con scripts y señales de telemetría para facilitar una implementación y revisión prácticas.

conducting-pass-the-ticket-attack es una habilidad de Auditoría de Seguridad y red team para planificar y documentar flujos de trabajo de Pass-the-Ticket. Te ayuda a revisar tickets Kerberos, mapear señales de detección y generar un flujo estructurado de validación o informe usando la habilidad conducting-pass-the-ticket-attack.