Ask TGT y TGS
Lo buenio de lo que vamos a ver a continucion es que podemos estar dentro de la maquina del atacante sin necesidad de estar dentro del dominio
Sin tener permisos de administrador y tenemos o hemos capturado un hash ntlm de un usuario podemos usar un a funcion de rubeos para obtener un TGT sin necesidad de importarlo en la sesion del usaurio que estamos utilizando, con rubeos asktgt
Cuando ejecutamos esto podemos interactuar con el kdc, obtener su TGT y su clave de sesión

nos lo pegamos en un txt y quitamos los espacios y los saltos de linea
y con este TGT podemos solicitar un TGS
Esto lo hcaemos por si nos encomntramos en la maquina del atacante que no esta en dominio en ese momento

de esta manera solicitamos el TGS, que de nuevo nos podiamos copiar quitar saltos de linea y espacios y utilizarlo para consumir ese eservicio en cualquier maquina y ahora si con rubeos importamos ese ticket y lo tendriamos en la maquina que quisiesemos

y lo tendriamos importado en nuestra maquina, esta o la que quisiesemos

con linux tambien lo podemos hacer d ela siguiente manera

nos da e TGT y la clave de sesion
y nos lo guarda en el archivo que nos indica
que podemos hacer ahora?
obtener todos los TGS que queramos
y como tenemos la sesionkey ? porque tenemos el hash NTLM que es con el que se cifra ese timestam que se utiliza en la preautenticacion y ademas es con la que va crifrada la clave se sesion que nos responde el AS.
para solicitar los TGS se hace asi;
pillamos esta variable de entorno


con esto le decimos que nuestras credenciales van a estar en la siguiente ruta

coje el TGT y nos devuelve toda la informacion de la SAM de la maquina WS01
a hecho un TGS-REQ y nos responde con un TGS-REP al usuario administrador y nos vuelca toda la informacion y todo esto sin estar dentro del usuario de dominio
tambien lo podemos hacer de lesta manera

y nos devuleve una shell reversa y ahroa podemos hacer lo que queramos estando en una maquina fuera de dominio y pudiendo controlar ese dominio desde fuera y pudiendo hacer lo que queramos en el dominio
lo podemos hacer de la siguiente manera tambien

o obtener un ticket de servicio

