Pentesting en entornos Active Directory #2 - Kerberoasting, ASREPRoast, Golden Ticket, PassTheTicket

Cuenta de Twitch: https://www.twitch.tv/s4vitaar Servidor Discord HackTheBox Español: https://discord.gg/u3dsh9M

Pentesting sobre entornos AD - Primera Parte: https://www.youtube.com/watch?v=LLevcaB4qew

00:00 - Introducción 02:36 - Comenzamos 04:00 - Repasando conceptos del anterior directo 08:13 - Nos descargamos Nishang para combinarlo con el SMB Relay 10:47 - Acceso al equipo Víctor-PC a través del SMB Relay 12:03 - Cambiamos la configuración para atacar al equipo Marcelo-PC 12:19 - Acceso al equipo Marcelo-PC a través del SMB Relay 13:28 - Explico qué es Kerberos y cómo se realizan las comunicaciones 14:26 - Nos hacemos un diagrama en draw.io para entender Kerberos 16:42 - Explico el concepto de Ticket Granting Ticket (TGT) 16:54 - Explico el concepto de Ticket Granting Service (TGS) 20:43 - Explico el mensaje KRB_AS_REQ 20:57 - Explico el mensaje KRB_AS_REP 21:07 - Explico el mensaje KRB_TGS_REQ 22:39 - Explico el mensaje KRB_TGS_REP 22:57 - Explico el mensaje KRB_AP_REQ 23:09 - Explico el mensaje KRB_ERROR 23:32 - Comienzo a explicar el ataque del Kerberoasting 25:18 - Creamos un usuario SVC_SQLService para probar el ataque 28:11 - Interceptamos el hash NTLM del usuario mvazquez a través del SMB Relay 29:07 - Crackeamos la contraseña mediante un ataque de fuerza bruta offline 29:44 - Analizamos alcance con el usuario mvazquez a través de CrackMapExec 30:25 - Uso de psexec para acceder a los equipos donde poseemos privilegios 31:04 - Uso de GetUserSPNs.py para obtener tickets TGS disponibles 32:04 - Explico qué es un SPN y lo configuramos para el usuario SVC_SQLService 33:44 - Explico por qué este ataque es factible 34:05 - Obtenemos el TGS del usuario SVC_SQLService 36:17 - Rompemos el TGS con Hashcat y visualizamos la contraseña en texto claro 38:07 - Validamos alcance del usuario SVC_SQLService con CrackMapExec 39:18 - Explico concepto de ASREProast Attack 41:33 - Enumeramos usuarios válidos a nivel de dominio con rpcclient 44:17 - Retocamos las propiedades de la cuenta del usuario SVC_SQLService 44:24 - Lanzamos GetNPUsers.py y obtenemos el Hash AS_REP del usuario SVC_SQLService 45:23 - Rompemos el Hash AS_REP con John y visualizamos la contraseña en texto claro 47:43 - Explico concepto de Golden Ticket Attack 48:33 - Habilitamos el RDP en el DC con CrackMapExec 49:25 - Uso de xfreerdp para acceder por escritorio remoto al DC como el usuario SVC_SQLService 51:50 - Cargamos Mimikatz en la memoria para posteriormente ejecutarlo 54:22 - Obtenemos toda la información del usuario krbtgt para crear un Golden Ticket 57:44 - Creamos un Golden Ticket con nombre gold.kirbi 1:01:28 - Analizamos privilegios de acceso desde el equipo Marcelo-PC como mvazquez 1:02:15 - Descargamos el Mimikatz y el gold.kirbi desde la máquina Marcelo-PC ... https://www.youtube.com/watch?v=KYFlvFfh-Js