Kerberos

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

La compétence extracting-credentials-from-memory-dump aide à analyser des dumps mémoire Windows pour extraire des hachages NTLM, des secrets LSA, du matériel Kerberos et des jetons, à l’aide de workflows Volatility 3 et pypykatz. Elle est conçue pour la criminalistique numérique et la réponse à incident lorsque vous avez besoin de preuves solides, d’évaluer l’impact sur les comptes et d’obtenir des recommandations de remédiation à partir d’un dump valide.

La skill d’exploitation noPac CVE-2021-42278-42287 est un guide pratique pour évaluer la chaîne noPac (CVE-2021-42278 et CVE-2021-42287) dans Active Directory. Elle aide les red teamers autorisés et les utilisateurs d’audit de sécurité à vérifier les prérequis, passer en revue les fichiers de workflow et documenter l’exploitabilité avec moins d’hésitation.

La skill d’abus de délégation contrainte guide des tests Active Directory autorisés autour de l’exploitation de la délégation contrainte Kerberos. Elle couvre l’énumération, les requêtes de tickets S4U2self et S4U2proxy, ainsi que des voies concrètes vers le mouvement latéral ou l’élévation de privilèges. Utilisez-la quand vous avez besoin d’un guide reproductible pour un test d’intrusion, et non d’un aperçu général de Kerberos.

detecting-pass-the-ticket-attacks aide à détecter les activités Kerberos Pass-the-Ticket en corrélant les identifiants d’événements Windows Security 4768, 4769 et 4771. Utilisez-le pour la threat hunting dans Splunk ou Elastic afin d’identifier la réutilisation de tickets, les rétrogradations vers RC4 et des volumes TGS inhabituels, avec des requêtes pratiques et des indications sur les champs.

Le skill détecter les attaques Kerberoasting aide à traquer le Kerberoasting en repérant les requêtes Kerberos TGS suspectes, les chiffrages faibles des tickets et les schémas liés aux comptes de service. Utilisez-le pour des workflows SIEM, EDR et EVTX, ainsi que pour la détection des attaques Kerberoasting dans des workflows de Threat Modeling, avec des modèles de détection pratiques et des conseils d’ajustement.

detecting-golden-ticket-forgery détecte la falsification d’un Kerberos Golden Ticket en analysant l’Event ID Windows 4769, l’usage d’un downgrade vers RC4 (0x17), des durées de ticket anormales et des anomalies krbtgt dans Splunk et Elastic. Conçu pour l’audit de sécurité, l’investigation d’incident et la chasse aux menaces, avec des indications de détection concrètes et exploitables.

deploying-active-directory-honeytokens aide les défenseurs à planifier et générer des honeytokens Active Directory pour des travaux d’audit de sécurité, notamment de faux comptes à privilèges, de faux SPN pour détecter le Kerberoasting, des appâts GPO et des chemins trompeurs dans BloodHound. Il associe des conseils orientés installation à des scripts et à des indices de télémétrie pour un déploiement et une vérification concrets.

conducting-pass-the-ticket-attack est une compétence de Security Audit et de red-team dédiée à la planification et à la documentation des workflows Pass-the-Ticket. Elle aide à examiner les tickets Kerberos, à cartographier les signaux de détection et à produire un flux de validation ou de rapport structuré à l’aide de la compétence conducting-pass-the-ticket-attack.