Enumeracion con klist

• Función: klist es una herramienta de línea de comandos utilizada en sistemas operativos Windows para visualizar los tickets de Kerberos almacenados en la caché de un cliente.

• Uso Común: Se utiliza para diagnosticar problemas de autenticación y para verificar que los tickets de Kerberos se han emitido correctamente.

• Características:

  • Puede mostrar tanto los Ticket Granting Tickets (TGT) como los Service Tickets (ST).

  • Permite a los usuarios ver la duración de la validez de los tickets y otros detalles como el tipo de cifrado y flags asociados.

• Importancia en Ciberseguridad: En el contexto de la ciberseguridad ofensiva, klist se utiliza para entender el estado de las credenciales Kerberos en una máquina comprometida, lo que puede ser crucial para movimientos laterales y escalada de privilegios en un entorno de Active Directory.

Desglose de la Salida de klist

Vamos a desglosar la siguiente salida del comando klist despues de habernos autenticado por RDP con el usuario regular.user:

C:\Users\admin\Desktop>klist

Current LogonId is 0:0x10d6046
Cached Tickets: (2)

#0>     Client: regular.user @ SPARTANCYBERSEC.CORP
        Server: krbtgt/SPARTANCYBERSEC.CORP @ SPARTANCYBERSEC.CORP
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/12/2023 20:30:04 (local)
        End Time:   11/13/2023 6:30:04 (local)
        Renew Time: 11/19/2023 20:30:04 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: First-DC.spartancybersec.corp

#1>     Client: regular.user @ SPARTANCYBERSEC.CORP
        Server: ldap/First-DC.spartancybersec.corp/spartancybersec.corp @ SPARTANCYBERSEC.CORP
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/12/2023 20:30:04 (local)
        End Time:   11/13/2023 6:30:04 (local)
        Renew Time: 11/19/2023 20:30:04 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: First-DC.spartancybersec.corp

1. Información General:

   • Current LogonId is 0:0x10d6046: Identifica la sesión actual en la que se ejecuta el comando.

2. Detalles de los Tickets en Caché:

   • Número de Tickets: Se muestran dos tickets en caché (Cached Tickets: (2)).

3. Ticket #0:

   • Cliente: regular.user @ SPARTANCYBERSEC.CORP. Este es el usuario para el cual se emitió el ticket.

   • Servidor: krbtgt/SPARTANCYBERSEC.CORP @ SPARTANCYBERSEC.CORP. Es el Ticket Granting Ticket (TGT) para el dominio SPARTANCYBERSEC.CORP.

   • Tipo de Encriptación del Ticket: AES-256-CTS-HMAC-SHA1-96.

   • Flags del Ticket: Indican características como forwardable, renewable, initial, pre_authent, name_canonicalize.

   • Tiempos de Validez: Inicio (Start Time), fin (End Time) y renovación (Renew Time) del ticket.

   • Tipo de Clave de Sesión: AES-256-CTS-HMAC-SHA1-96.

   • Flags de Caché: 0x1 -> PRIMARY indica que es el ticket primario en la caché.

   • KDC Llamado: First-DC.spartancybersec.corp.

4. Ticket #1:

   • Similar al Ticket #0, pero este es específico para el servicio LDAP (ldap/First-DC.spartancysec.corp/spartancybersec.corp).

   • Este ticket tiene el flag ok_as_delegate, indicando que puede ser utilizado para delegación de credenciales.