Enumeracion con klist
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
OBJETIVO DEL EJERCICIO #12:
Utilizaklist
para enumerar los tickets cacheados en el equipo.
Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER
y First-DC
.
Función: klist
es una herramienta de línea de comandos utilizada en sistemas operativos Windows para visualizar los tickets de Kerberos almacenados en la caché de un cliente.
Uso Común: Se utiliza para diagnosticar problemas de autenticación y para verificar que los tickets de Kerberos se han emitido correctamente.
Características:
Puede mostrar tanto los Ticket Granting Tickets (TGT) como los Service Tickets (ST).
Permite a los usuarios ver la duración de la validez de los tickets y otros detalles como el tipo de cifrado y flags asociados.
Importancia en Ciberseguridad: En el contexto de la ciberseguridad ofensiva, klist
se utiliza para entender el estado de las credenciales Kerberos en una máquina comprometida, lo que puede ser crucial para movimientos laterales y escalada de privilegios en un entorno de Active Directory.
klist
Vamos a desglosar la siguiente salida del comando klist despues de habernos autenticado por RDP con el usuario regular.user:
Información General:
Current LogonId is 0:0x10d6046
: Identifica la sesión actual en la que se ejecuta el comando.
Detalles de los Tickets en Caché:
Número de Tickets: Se muestran dos tickets en caché (Cached Tickets: (2)
).
Ticket #0:
Cliente: regular.user @ SPARTANCYBERSEC.CORP
. Este es el usuario para el cual se emitió el ticket.
Servidor: krbtgt/SPARTANCYBERSEC.CORP @ SPARTANCYBERSEC.CORP
. Es el Ticket Granting Ticket (TGT) para el dominio SPARTANCYBERSEC.CORP
.
Tipo de Encriptación del Ticket: AES-256-CTS-HMAC-SHA1-96
.
Flags del Ticket: Indican características como forwardable
, renewable
, initial
, pre_authent
, name_canonicalize
.
Tiempos de Validez: Inicio (Start Time
), fin (End Time
) y renovación (Renew Time
) del ticket.
Tipo de Clave de Sesión: AES-256-CTS-HMAC-SHA1-96
.
Flags de Caché: 0x1 -> PRIMARY
indica que es el ticket primario en la caché.
KDC Llamado: First-DC.spartancybersec.corp
.
Ticket #1:
Similar al Ticket #0, pero este es específico para el servicio LDAP (ldap/First-DC.spartancysec.corp/spartancybersec.corp
).
Este ticket tiene el flag ok_as_delegate
, indicando que puede ser utilizado para delegación de credenciales.