معرفی ابزار AutoPTT برای شناسایی آسیب‌پذیری‌های Pass-the-Ticket در Active Directory

**zerod4y** · 02-12-2026, 01:35 PM

AutoPTT یک ابزار متن‌باز برای شناسایی و تحلیل آسیب‌پذیری‌های مرتبط با Pass-the-Ticket (PTT) در محیط‌های Active Directory است. این ابزار با تمرکز روی Kerberos ticketها طراحی شده و هدفش کمک به تیم‌های امنیتی برای کشف misconfigurationهایی است که می‌توانند منجر به lateral movement شوند.

در سناریوهای واقعی Red Team، اگر یک مهاجم بتواند به TGT یا TGS معتبر دسترسی پیدا کند، بدون دانستن پسورد کاربر می‌تواند به سرویس‌های دیگر authenticate شود. AutoPTT دقیقا برای شناسایی همین ریسک‌ها توسعه داده شده؛ یعنی بررسی می‌کند آیا ticketها قابل reuse هستند، delegationها درست تنظیم شده‌اند یا نه، و آیا ساختار trust بین سرویس‌ها امکان سوءاستفاده می‌دهد یا خیر.

از نظر فنی، ابزار روی تحلیل Kerberos authentication flow تمرکز دارد و وضعیت delegation، SPNها و تنظیمات مرتبط را بررسی می‌کند. این یعنی بیشتر جنبه auditing و assessment دارد، نه exploitation مستقیم. پس در تیم Blue هم کاربرد دارد، نه فقط Red.

ویژگی‌های اصلی:

بررسی تنظیمات Kerberos delegation
شناسایی misconfigurationهای مرتبط با Pass-the-Ticket
مناسب برای ارزیابی امنیتی Active Directory
متن‌باز و قابل توسعه

کاربرد عملی:

ارزیابی امنیتی قبل از تست نفوذ
بررسی سطح exposure در سازمان‌هایی با ساختار AD پیچیده
استفاده در Purple Team exercise برای سنجش detection capability

محدودیت‌ها:

نیازمند دسترسی مناسب به دامنه برای جمع‌آوری اطلاعات
برای استفاده مؤثر، باید مفاهیم Kerberos، SPN و delegation را به‌خوبی بشناسی
ابزار تحلیل است، نه exploit framework

اگر در حوزه AD attack surface کار می‌کنی یا تمرکزت روی post-exploitation و lateral movement است، این پروژه می‌تواند دید خوبی درباره وضعیت delegationها بدهد. برای کسی که سابقه Red Team دارد، این ابزار بیشتر یک scanner تحلیلی است تا چیز هیجان‌انگیز، ولی در محیط‌های enterprise با trustهای چندلایه می‌تواند نقاط کور جالبی پیدا کند.

LINK