What is Impacket: A Comprehensive Guide to Network Tookit

https://denizhalil.com/2025/05/02/what-is-impacket-network-toolkit/

#impacket #cybersecurity #ethicalhacking #pentesting #networksecurity #smbprotocol

Another free #impacket IOC: just search for packets with Auth Context ID equals 79231 within your DCERPC traffic.

Silver Ticket: Теневое искусство атаки. От теории к практике и артефактам обнаружения

Silver Ticket — не просто атака, а теневая операция в сердце Active Directory. ❓Как злоумышленники подделывают билеты ❓Какие следы они оставляют ❓Какие инструменты они используют ❓Какие артефакты помогут обнаружить данную активность ✅В статье раскроем секреты этой атаки

https://habr.com/ru/articles/886584/

#silver_ticket #impacket #purple_team

Netlogon used as SSP (AES version)

https://gist.github.com/ThePirateWhoSmellsOfSunflowers/cdf85b2c3b040f7c33b66d7001baf0ab

You need #impacket PR 1848

Hunting for Impacket Usage:
- Part 1: https://threathunt.blog/impacket-psexec/
- Part 2: https://threathunt.blog/impacket-part-2/
- Part 3: https://threathunt.blog/impacket-part-3/

#threathunting #impacket

Coffee break thoughts: "is it possible to bruteforce RPC endpoint to perform code exec if you can't access EPM/SMB?"

99% #impacket atexec + 1% "for loop" = 100% prod ready
https://gist.github.com/ThePirateWhoSmellsOfSunflowers/3673746454aef7d55a5efed4dc4e1a61 (silent command only)
h/t (at)SAERXCIT on Twitter

🌻

There are no or few examples of netlogon used as SSP in #impacket. So I made one:

https://gist.github.com/ThePirateWhoSmellsOfSunflowers/4bb3742e864f24ce7de1f3c7ac2a8300

🌻

Раскуриваем Golden Ticket и смотрим артефакты

🔥 Атака Golden Ticket позволяет злоумышленнику выпустить золотой билет Kerberos (TGT) с помощью секретного ключа (хэш) сервисной учетной записи KRBTGT. Данная техника позволяет максимально скрыть следы своего присутствия, поскольку для инфраструктуры злоумышленник будет казаться легитимным пользователем, но без фактической аутентификации и с желаемыми правами. В данной статье разберем атаку на практике и научимся ее детектить по артефактам...

https://habr.com/ru/articles/836818/

#golden_ticket #goldenticket #ad #activedirectory #rubeus #impacket

Pass The Hash? Да легко! + артефакты

🔥 Атака Pass The Hash позволяет злоумышленнику повторно использовать NT хэш для входа систему, избегая ввода пароля и используя протокол NTLM для авторизации, вместо базового Kerberos. Но как она делается и, самое главное, детектится в домене?...

https://habr.com/ru/articles/829972/

#pass_the_hash #pth #domain #active_directory #impacket #psexec

Немножко про As-Rep Roasting и его артефакты

🔥 Атака As-rep Roasting позволяет злоумышленнику воспользоваться отключенной преаутентификацией Kerberos для пользователя с целью компрометации УЗ. Но как она устроена и какие есть артефакты для её детекта?

https://habr.com/ru/articles/826620/

#kerberos #asrep_roasting #impacket #artefacts

#dfir #knowledgedrop

Problems detecting #impacket ?

Very nice guide to detect all the different modules of it:

https://neil-fox.github.io/Impacket-usage-&-detection

Ваших соседей пошифровали! Прямой репортаж с места событий

Такие истории редко оказываются публичными: мало кто любит хвастаться тем, как их пошифровали (даже если это хэппиэнд). Но пора признать — эти истории есть, они ближе, чем мы думаем, и их абсолютно точно в разы больше, чем все привыкли считать. Шифровальщики все еще остаются в топе угроз среди атак на организации. Одну из таких атак сумела запечатлеть система поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), которая в это время пилотировалась в компании. И если бы только оператор SOC обратил внимание на алерты в интерфейсе новой системы… но история не терпит сослагательного наклонения. Подробнее

https://habr.com/ru/companies/pt/articles/787050/

#ransomware #cybersecurity #трафик #шифровальщик #nta #поведенческий_анализ #soc #lockbit #dmz #impacket

The conclusion of my last post (https://offsec.almond.consulting/ldap-authentication-in-active-directory-environments.html) is « Since a lot of #impacket’s examples are based on #ldap3, it seems easy to adapt them to work against hardened domain controllers ». Good job Daniel!

New version of #Impacket released!

https://www.coresecurity.com/core-labs/articles/impacket-v0110-now-available

Helpful new functionality here, no credentials required! SMB version, if signing is enabled, current time, hostname, domain, OS, etc.

https://github.com/fortra/impacket/pull/1523

Got super excited when I saw the new net.py, but it wasn’t exactly what I was thinking. Always wanted the “net localgroup administrators” or “net sessions” functionality like #CobaltStrike has. Maybe sometime soon.

Interested in exploring the world of #ActiveDirectory attacks from the eyes of the adversary? Join our comprehensive 2-day course!

Learn the nuances of network poisoning, authentication protocol attacks, and more. Get hands-on experience with #Bloodhound, #Rubeus, #Impacket, #Mimikatz, and more.

Register: https://www.eventbrite.com/e/advanced-threat-emulation-active-directory-tickets-565080931277

#CyberSecurity #RedTeam #InfoSec

Today has been really fun. I have done a lot of research into what impacket can do and I will start researching more into what detections need to be put in place, should this tool be used maliciously. I've also spun up a docker container for "Decider" the app that CISA release earlier this month to help build out attack paths of threat actors during an event. Fun stuff!
The rest of this afternoon is going to be roadmap planning and documentation stuff. Lets go!

#security #docker #impacket #cisa #decider #mitre #mitreattackframework

Regarding the recently disclosed #impacket #psexec vulnerability, a neat tool for remotely determining installed services or if the vulnerable psexec service exists(if not cleaned up properly). It checks if certain named pipes exist which doesn’t require administrative privileges. You still need some form of basic authentication / trust / credentials (even unprivileged) like a valid domain user account. https://github.com/tothi/serviceDetector

Disclosed today at the #Disobey conference - psexec from #impacket expose the target system for authenticated command execution as SYSTEM. That means any user that can authenticate over the network (usually Domain Users) can run code as SYSTEM over the network.

So next saturday I'll be dropping some vulns in the #impacket framework as part of my
#Disobey talk. If you are using or building services around impacket, watch out for PRs in the following days.

Attacking Kerberos - I have just completed this room! Check it out: https://tryhackme.com/room/attackingkerberos #tryhackme #Kerberos #Active Directory #Exploitation #Windows #Privilege Escalation #mimikatz #rubeus #kerbrute #Impacket #Kerberoasting #AS-REP Roasting #Golden Ticket #Silver Ticket #Kerbrute #Pass the Ticket #Attacking Kerberos #windows #attackingkerberos via @RealTryHackMe