Hacking en Active Directory - [CPAD-100]

Enumeracion con klist

AnteriorEnumeracion con BloodHound SiguienteSecurity Identifiers (SIDs)

Última actualización hace 1 año

¿Te fue útil?

Enumeracion con klist

Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: . ¡Te esperamos para empezar este viaje juntos!

OBJETIVO DEL EJERCICIO #12:

Utilizaklistpara enumerar los tickets cacheados en el equipo. Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER y First-DC.

Función: klist es una herramienta de línea de comandos utilizada en sistemas operativos Windows para visualizar los tickets de Kerberos almacenados en la caché de un cliente.
Uso Común: Se utiliza para diagnosticar problemas de autenticación y para verificar que los tickets de Kerberos se han emitido correctamente.
Características:
- Puede mostrar tanto los Ticket Granting Tickets (TGT) como los Service Tickets (ST).
- Permite a los usuarios ver la duración de la validez de los tickets y otros detalles como el tipo de cifrado y flags asociados.
Importancia en Ciberseguridad: En el contexto de la ciberseguridad ofensiva, klist se utiliza para entender el estado de las credenciales Kerberos en una máquina comprometida, lo que puede ser crucial para movimientos laterales y escalada de privilegios en un entorno de Active Directory.

Desglose de la Salida de `klist`

Vamos a desglosar la siguiente salida del comando klist despues de habernos autenticado por RDP con el usuario regular.user:

C:\Users\admin\Desktop>klist

Current LogonId is 0:0x10d6046
Cached Tickets: (2)

#0>     Client: regular.user @ SPARTANCYBERSEC.CORP
        Server: krbtgt/SPARTANCYBERSEC.CORP @ SPARTANCYBERSEC.CORP
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/12/2023 20:30:04 (local)
        End Time:   11/13/2023 6:30:04 (local)
        Renew Time: 11/19/2023 20:30:04 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: First-DC.spartancybersec.corp

#1>     Client: regular.user @ SPARTANCYBERSEC.CORP
        Server: ldap/First-DC.spartancybersec.corp/spartancybersec.corp @ SPARTANCYBERSEC.CORP
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/12/2023 20:30:04 (local)
        End Time:   11/13/2023 6:30:04 (local)
        Renew Time: 11/19/2023 20:30:04 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: First-DC.spartancybersec.corp

Información General:
- Current LogonId is 0:0x10d6046: Identifica la sesión actual en la que se ejecuta el comando.
Detalles de los Tickets en Caché:
- Número de Tickets: Se muestran dos tickets en caché (Cached Tickets: (2)).
Ticket #0:
- Cliente: regular.user @ SPARTANCYBERSEC.CORP. Este es el usuario para el cual se emitió el ticket.
- Servidor: krbtgt/SPARTANCYBERSEC.CORP @ SPARTANCYBERSEC.CORP. Es el Ticket Granting Ticket (TGT) para el dominio SPARTANCYBERSEC.CORP.
- Tipo de Encriptación del Ticket: AES-256-CTS-HMAC-SHA1-96.
- Flags del Ticket: Indican características como forwardable, renewable, initial, pre_authent, name_canonicalize.
- Tiempos de Validez: Inicio (Start Time), fin (End Time) y renovación (Renew Time) del ticket.
- Tipo de Clave de Sesión: AES-256-CTS-HMAC-SHA1-96.
- Flags de Caché: 0x1 -> PRIMARY indica que es el ticket primario en la caché.
- KDC Llamado: First-DC.spartancybersec.corp.
Ticket #1:
- Similar al Ticket #0, pero este es específico para el servicio LDAP (ldap/First-DC.spartancysec.corp/spartancybersec.corp).
- Este ticket tiene el flag ok_as_delegate, indicando que puede ser utilizado para delegación de credenciales.

AnteriorEnumeracion con BloodHound SiguienteSecurity Identifiers (SIDs)

Última actualización hace 1 año

¿Te fue útil?

OBJETIVO DEL EJERCICIO #12:

Utilizaklistpara enumerar los tickets cacheados en el equipo. Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER y First-DC.

Función: klist es una herramienta de línea de comandos utilizada en sistemas operativos Windows para visualizar los tickets de Kerberos almacenados en la caché de un cliente.
Uso Común: Se utiliza para diagnosticar problemas de autenticación y para verificar que los tickets de Kerberos se han emitido correctamente.
Características:
- Puede mostrar tanto los Ticket Granting Tickets (TGT) como los Service Tickets (ST).
- Permite a los usuarios ver la duración de la validez de los tickets y otros detalles como el tipo de cifrado y flags asociados.
Importancia en Ciberseguridad: En el contexto de la ciberseguridad ofensiva, klist se utiliza para entender el estado de las credenciales Kerberos en una máquina comprometida, lo que puede ser crucial para movimientos laterales y escalada de privilegios en un entorno de Active Directory.

Desglose de la Salida de `klist`

Vamos a desglosar la siguiente salida del comando klist despues de habernos autenticado por RDP con el usuario regular.user:

C:\Users\admin\Desktop>klist

Current LogonId is 0:0x10d6046
Cached Tickets: (2)

#0>     Client: regular.user @ SPARTANCYBERSEC.CORP
        Server: krbtgt/SPARTANCYBERSEC.CORP @ SPARTANCYBERSEC.CORP
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/12/2023 20:30:04 (local)
        End Time:   11/13/2023 6:30:04 (local)
        Renew Time: 11/19/2023 20:30:04 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: First-DC.spartancybersec.corp

#1>     Client: regular.user @ SPARTANCYBERSEC.CORP
        Server: ldap/First-DC.spartancybersec.corp/spartancybersec.corp @ SPARTANCYBERSEC.CORP
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/12/2023 20:30:04 (local)
        End Time:   11/13/2023 6:30:04 (local)
        Renew Time: 11/19/2023 20:30:04 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: First-DC.spartancybersec.corp

Información General:
- Current LogonId is 0:0x10d6046: Identifica la sesión actual en la que se ejecuta el comando.
Detalles de los Tickets en Caché:
- Número de Tickets: Se muestran dos tickets en caché (Cached Tickets: (2)).
Ticket #0:
- Cliente: regular.user @ SPARTANCYBERSEC.CORP. Este es el usuario para el cual se emitió el ticket.
- Servidor: krbtgt/SPARTANCYBERSEC.CORP @ SPARTANCYBERSEC.CORP. Es el Ticket Granting Ticket (TGT) para el dominio SPARTANCYBERSEC.CORP.
- Tipo de Encriptación del Ticket: AES-256-CTS-HMAC-SHA1-96.
- Flags del Ticket: Indican características como forwardable, renewable, initial, pre_authent, name_canonicalize.
- Tiempos de Validez: Inicio (Start Time), fin (End Time) y renovación (Renew Time) del ticket.
- Tipo de Clave de Sesión: AES-256-CTS-HMAC-SHA1-96.
- Flags de Caché: 0x1 -> PRIMARY indica que es el ticket primario en la caché.
- KDC Llamado: First-DC.spartancybersec.corp.
Ticket #1:
- Similar al Ticket #0, pero este es específico para el servicio LDAP (ldap/First-DC.spartancysec.corp/spartancybersec.corp).
- Este ticket tiene el flag ok_as_delegate, indicando que puede ser utilizado para delegación de credenciales.

Desglose de la Salida de klist

Desglose de la Salida de klist

Desglose de la Salida de `klist`

Desglose de la Salida de `klist`