Iredteam on Phat Mai Blog

IredTeam AS-REP Roasting

Wed, 17 Dec 2025 00:00:00 +0700

IredTeam AS-REP Roasting

AS-REP là gì?

AS-REP (viết tắt của Authentication Service Reply) là một thông điệp trong giao thức xác thực Kerberos. Đây là bước thứ hai trong quá trình xác thực ban đầu, được gửi từ Key Distribution Center (KDC), thường là một Domain Controller trong môi trường Active Directory, đến người dùng.

Thông điệp này chứa Ticket-Granting Ticket (TGT), một ticket được mã hóa dùng để yêu cầu các vé dịch vụ khác mà không cần người dùng phải nhập lại mật khẩu. Một phần của thông điệp AS-REP này được mã hóa bằng chính hash mật khẩu của người dùng.

Ired.Team Kerberos Silver Ticket Execution

Sat, 13 Dec 2025 00:00:00 +0700

Ired.Team Kerberos Silver Ticket

Tiếp tục chuỗi series AD abuse thì tiếp theo ta tiến tới Kerberos Silver Ticket có nghĩa là ta sẽ hack quyền từ Kerberos nhưng không phải tạo golden ticket để truy cập mọi tài nguyên trong DC mà ở đây ta chỉ tạo Silver Ticket có quyền truy cập một số tài nguyên nhất định vì đôi khi ta cũng không cần phải full quyền để làm gì nhiều lúc sẽ dễ bị phát hiện nên ta chỉ cần lấy một vài tài nguyên, chính điều đó thì Silver Ticket ra đời.

Ired.Team Kerberos Golden Tickets Lab

Wed, 10 Dec 2025 00:00:00 +0700

Ired.Team Kerberos: Golden Tickets Lab

Overview

Lab này khám phá một cuộc tấn công vào Kerberos Authentication của Active Directory(AD). Chính xác hơn, đây là một cuộc tấn công giả mạo Vé cấp quyền Kerberos (TGT) được sử dụng để xác thực User bằng Kerberos.

TGT được sử dụng khi Ticket Granting Service (TGS), nghĩa là một TGT giả có thể giúp chúng ta có được bất kỳ ticket TGS nào.

Ired.Team Kerberoasting (Credential Access)

Mon, 08 Dec 2025 00:00:00 +0700

Ired.Team Kerberoasting (Credential Access)

Giải thích về các khái niệm

Kerberos trong Active Directory

Trong môi trường Windows Active Directory (AD), Kerberos là giao thức xác thực mặc định. Nó sử dụng các ticket để xác thực người dùng và dịch vụ mà không truyền mật khẩu qua mạng.

Các thành phần chính:

KDC (Key Distribution Center): Thường là Domain Controller (DC).
TGT (Ticket Granting Ticket): Cấp cho user sau khi đăng nhập thành công → dùng để xin ticket cho dịch vụ.
TGS (Ticket Granting Service ticket): Là service ticket cho một dịch vụ cụ thể → dùng để truy cập dịch vụ đó.

SPN là gì? (Service Principal Name)

SPN là một định danh duy nhất cho một dịch vụ trong domain.
Định dạng: ServiceClass/HostName[:Port]
SPN được lưu trong thuộc tính servicePrincipalName của đối tượng người dùng (user object).

TGS là gì?

TGS (Ticket Granting Service ticket) là ticket dùng để truy cập một dịch vụ cụ thể.
Khi user yêu cầu truy cập dịch vụ (ví dụ: IIS trên HTTP/dc-mantvydas.offense.local).
Tìm tài khoản nào sở hữu SPN đó → ví dụ: user svc_iis.
Tạo TGS, trong đó có phần "server ticket" được mã hóa bằng mật khẩu hash của svc_iis.
Gửi TGS cho client.

Kỹ thuật Kerberoasting là gì?

Lợi dụng việc TGS được mã hóa bằng mật khẩu hash của tài khoản dịch vụ để trích xuất ticket, rồi brute-force offline nhằm khôi phục mật khẩu gốc.

Ired.Team From Domain Admin to Enterprise Admin

Sun, 07 Dec 2025 00:00:00 +0700

Ired.Team From Domain Admin to Enterprise Admin

Overview

Ở lab này ta sẽ lợi dụng mối quan hệ giữa Parent-Child domain từ đó lợi dụng mối quan hệ đó và gây nên leo thang đặc quyền.

Build lab

SetUp domain đặt tên là offense.local đây là domain cha với IP là 192.168.10.10/24 và DNS: 127.0.0.1.

Đã cài xong Active Directory Domain Services (AD DS).
Đã promote máy thành Domain Controller cho domain: offense.local.