Kerberos

exploiting-kerberoasting-with-impacket 可協助授權測試人員使用 Impacket 的 GetUserSPNs.py 規劃 Kerberoasting 流程，涵蓋 SPN 枚舉、TGS 票證擷取、離線破解與具偵測意識的報告撰寫。這份 exploiting-kerberoasting-with-impacket 指南適用於滲透測試工作流程，提供清楚的安裝與使用脈絡。

extracting-credentials-from-memory-dump 這項技能可協助你使用 Volatility 3 與 pypykatz 工作流程，分析 Windows 記憶體傾印中的 NTLM 雜湊、LSA secrets、Kerberos 材料與 token。它特別適合數位鑑識與事件回應情境，當你需要從有效的傾印中取得具證據力的結果、評估帳號影響，並提出修復建議時使用。

exploiting-nopac-cve-2021-42278-42287 技能是一份實用指南，用來評估 Active Directory 中的 noPac 攻擊鏈（CVE-2021-42278 與 CVE-2021-42287）。它可協助已授權的紅隊成員與安全稽核使用者檢查前置條件、檢閱工作流程檔案，並在較少猜測的情況下記錄是否可被利用。

exploiting-constrained-delegation-abuse 技能用於授權的 Active Directory 測試，聚焦 Kerberos constrained delegation abuse。內容涵蓋枚舉、S4U2self 與 S4U2proxy 票證請求，以及實際可行的橫向移動或權限提升路徑。當你需要一份可重複執行的滲透測試指南，而不是泛泛的 Kerberos 概述時，這項技能就很適合。

detecting-pass-the-ticket-attacks 可透過關聯 Windows 安全性事件 ID 4768、4769 與 4771，協助偵測 Kerberos Pass-the-Ticket 活動。適合在 Splunk 或 Elastic 中進行威脅狩獵，用來找出票證重用、RC4 降級與異常 TGS 流量，並提供實用查詢與欄位指引。

detecting-kerberoasting-attacks 技能可透過辨識可疑的 Kerberos TGS 請求、薄弱的票證加密，以及服務帳號特徵來協助追查 Kerberoasting。適合用於 SIEM、EDR、EVTX，以及威脅建模流程中的 detecting-kerberoasting-attacks，並提供實用的偵測範本與調校建議。

detecting-golden-ticket-forgery 透過分析 Windows Event ID 4769、RC4 降級使用（0x17）、異常票證存活時間，以及 Splunk 與 Elastic 中的 krbtgt 異常，偵測 Kerberos Golden Ticket 偽造。適合用於安全稽核、事件調查與威脅狩獵，並提供實用的偵測指引。

deploying-active-directory-honeytokens 協助防守者規劃並產生 Active Directory honeytokens，適用於 Security Audit 工作，包括偽造特權帳號、用於 Kerberoasting 偵測的偽 SPN、誘餌 GPO 陷阱，以及具欺騙性的 BloodHound 路徑。它把偏安裝導向的指引與腳本、遙測提示結合起來，方便實際部署與檢視。

conducting-pass-the-ticket-attack 是一個用於資安稽核與紅隊演練的技能，協助你規劃與記錄 Pass-the-Ticket（PtT）流程。它可幫助你檢視 Kerberos 票證、對應偵測訊號，並使用 conducting-pass-the-ticket-attack skill 產出結構化的驗證或報告流程。