哥斯拉有三种生成PHP webshell的类型

https://github.com/al0ne/suricata-rules/tree/master/CobaltStrike

当被攻击账号设置的是”不需要kerberos预身份验证”模式后（默认不勾选，所以比较局限）。相当于跳过的AS的验证，在AS_REP过程就可以任意伪造用户请求票据。Kerberos 预身份验证发生在

Kerberoasting 是一种允许攻击者窃取使用 RC4 加密的 KRB_TGS 票证的技术，以暴力破解应用程序服务 HASH 来获取其密码（重要是RC4 加密的）

NTLM中继原理图

With kerbrute.py: