Kerberos

exploiting-kerberoasting-with-impacket giúp người kiểm thử được ủy quyền lập kế hoạch Kerberoasting bằng `GetUserSPNs.py` của Impacket, từ liệt kê SPN đến trích xuất ticket TGS, bẻ khóa ngoại tuyến và báo cáo có xét đến khả năng bị phát hiện. Hãy dùng hướng dẫn exploiting-kerberoasting-with-impacket này cho quy trình kiểm thử xâm nhập với ngữ cảnh cài đặt và sử dụng rõ ràng.

Kỹ năng extracting-credentials-from-memory-dump hỗ trợ phân tích các memory dump của Windows để tìm NTLM hash, LSA secret, dữ liệu Kerberos và token bằng quy trình Volatility 3 và pypykatz. Kỹ năng này phù hợp cho Digital Forensics và ứng phó sự cố khi bạn cần bằng chứng có thể bảo vệ được, đánh giá mức độ ảnh hưởng tới tài khoản và hướng dẫn khắc phục từ một dump hợp lệ.

Kỹ năng exploiting-nopac-cve-2021-42278-42287 là một hướng dẫn thực hành để đánh giá chuỗi noPac (CVE-2021-42278 và CVE-2021-42287) trong Active Directory. Kỹ năng này giúp người làm red team được ủy quyền và người dùng Security Audit kiểm tra điều kiện tiên quyết, rà soát các tệp quy trình và ghi nhận khả năng khai thác với ít phỏng đoán hơn.

Skill exploiting-constrained-delegation-abuse hướng dẫn kiểm thử có ủy quyền trên Active Directory đối với việc lạm dụng Kerberos constrained delegation. Nội dung bao gồm bước liệt kê, yêu cầu vé S4U2self và S4U2proxy, cùng các hướng đi thực tế để di chuyển ngang hoặc leo thang đặc quyền. Phù hợp khi bạn cần một hướng dẫn lặp lại được cho pentest, chứ không phải một tổng quan chung về Kerberos.

detecting-pass-the-ticket-attacks giúp phát hiện hoạt động Kerberos Pass-the-Ticket bằng cách tương quan các Windows Security Event ID 4768, 4769 và 4771. Hãy dùng nó để threat hunting trong Splunk hoặc Elastic nhằm phát hiện việc tái sử dụng ticket, hạ cấp RC4 và lưu lượng TGS bất thường, kèm truy vấn thực tế và hướng dẫn về field.

Skill phát hiện Kerberoasting giúp săn tìm Kerberoasting bằng cách nhận diện các yêu cầu Kerberos TGS đáng ngờ, kiểu mã hóa vé yếu và các mẫu hành vi của service account. Phù hợp cho các workflow SIEM, EDR, EVTX và Threat Modeling với các mẫu phát hiện thực tế cùng hướng dẫn tinh chỉnh để giảm nhiễu.

detecting-golden-ticket-forgery phát hiện giả mạo Kerberos Golden Ticket bằng cách phân tích Windows Event ID 4769, việc hạ cấp sang RC4 (0x17), thời lượng ticket bất thường và các bất thường ở krbtgt trong Splunk và Elastic. Được xây dựng cho Security Audit, điều tra sự cố và threat hunting với hướng dẫn phát hiện thực tế.

deploying-active-directory-honeytokens giúp đội phòng thủ lên kế hoạch và tạo honeytoken cho Active Directory phục vụ công việc Security Audit, bao gồm tài khoản đặc quyền giả, SPN giả để phát hiện Kerberoasting, bẫy GPO mồi nhử và các đường đi BloodHound đánh lạc hướng. Nội dung kết hợp hướng dẫn thiên về cài đặt với script và tín hiệu telemetry để triển khai và rà soát thực tế.

conducting-pass-the-ticket-attack là một kỹ năng Kiểm toán bảo mật và red team để lập kế hoạch và ghi lại các quy trình Pass-the-Ticket. Kỹ năng này giúp bạn rà soát vé Kerberos, ánh xạ các tín hiệu phát hiện và tạo luồng xác thực hoặc báo cáo có cấu trúc bằng conducting-pass-the-ticket-attack.