作者 mukul975
exploiting-kerberoasting-with-impacket 可帮助授权测试人员使用 Impacket 的 GetUserSPNs.py 规划 Kerberoasting 流程,从 SPN 枚举到 TGS 票据提取、离线破解以及检测感知型报告。此 exploiting-kerberoasting-with-impacket 指南适用于渗透测试工作流,提供清晰的安装与使用上下文。
作者 mukul975
detecting-dcsync-attack-in-active-directory 是一项威胁狩猎技能,用于通过关联 4662 事件、复制 GUID 和合法的 DC 账户,识别 Active Directory 中的 DCSync 滥用。可用它借助 Splunk、KQL 和解析脚本来确认、分诊并记录凭据窃取活动。
作者 mukul975
extracting-credentials-from-memory-dump 这个技能帮助你使用 Volatility 3 和 pypykatz 工作流分析 Windows 内存转储,提取 NTLM 哈希、LSA secrets、Kerberos 材料和 token。它适用于数字取证和事件响应场景,在你需要从有效转储中获得可作为证据的结果、评估账户影响并给出修复建议时尤其有用。
作者 mukul975
exploiting-nopac-cve-2021-42278-42287 技能是一份面向 Active Directory 中 noPac 链(CVE-2021-42278 和 CVE-2021-42287)的实用评估指南。它帮助经过授权的红队人员和安全审计用户检查前置条件、查看工作流文件,并以更少的试错来判断是否可被利用。
作者 mukul975
exploiting-constrained-delegation-abuse 技能用于指导已授权的 Active Directory 测试,重点是 Kerberos 约束委派滥用。内容涵盖枚举、S4U2self 和 S4U2proxy 票据请求,以及通往横向移动或权限提升的实操路径。如果你需要的是可重复使用的渗透测试指南,而不是泛泛的 Kerberos 概览,这个技能会更合适。
作者 mukul975
detecting-pass-the-ticket-attacks 通过关联 Windows Security Event IDs 4768、4769 和 4771,帮助检测 Kerberos Pass-the-Ticket 活动。适用于 Splunk 或 Elastic 中的威胁狩猎,用于发现票据复用、RC4 降级以及异常 TGS 流量,并提供可直接上手的查询和字段说明。
作者 mukul975
detecting-kerberoasting-attacks 技能可通过识别可疑的 Kerberos TGS 请求、弱票据加密方式和服务账户模式,帮助你主动猎杀 Kerberoasting 攻击。它适用于 SIEM、EDR、EVTX 以及用于 Threat Modeling 工作流的 detecting-kerberoasting-attacks,并提供实用的检测模板和调优建议。
作者 mukul975
detecting-golden-ticket-forgery 通过分析 Windows Event ID 4769、RC4 降级使用(0x17)、异常票据生命周期以及 Splunk 和 Elastic 中的 krbtgt 异常,检测 Kerberos Golden Ticket 伪造。面向 Security Audit、事件调查和威胁狩猎,提供实用的检测指引。
作者 mukul975
deploying-active-directory-honeytokens 帮助防守者为安全审计工作规划并生成 Active Directory honeytokens,包括伪造特权账户、用于 Kerberoasting 检测的伪 SPN、诱饵 GPO 陷阱,以及欺骗性的 BloodHound 路径。它将偏安装导向的指导与脚本和遥测线索结合起来,便于实际部署与复盘。
作者 mukul975
conducting-pass-the-ticket-attack 是一项用于安全审计和红队的技能,适合规划和记录 Pass-the-Ticket 工作流。它可以帮助你审查 Kerberos 票据、梳理检测信号,并使用 conducting-pass-the-ticket-attack 技能产出结构化的验证或报告流程。
