> For the complete documentation index, see [llms.txt](https://securitylayer.gitbook.io/securitylayer/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/rubeus.md).

# Rubeus

***¿Qué es Rubeus?***

***Rubeus** es una herramienta de **post-explotación** orientada a ataques y manipulación del protocolo **Kerberos** en entornos **Windows Active Directory**. Está escrita en **C#** y se compila como un **ejecutable .NET (****`.exe`****)**. Fue desarrollada por Will Schroeder (@harmj0y), uno de los principales investigadores de AD.*

***¿Se ejecuta solo en Windows?***

***Sí, Rubeus está diseñado para ejecutarse en sistemas Windows** porque:*

* *Necesita acceso a **funciones de la API de Windows**, especialmente relacionadas con Kerberos (como LSA, LSASS, WinAPI, etc.).*
* *Interactúa con la **cache de tickets Kerberos en memoria** y el sistema de seguridad local.*
* *Aprovecha el **cliente Kerberos de Windows** para cargar y enviar tickets (`ptt`, `asktgt`, `s4u`, etc.).*
* *Por lo tanto, **no puede ejecutarse nativamente en Linux ni WSL**, y **no es un script**\*\* \*\*\*\*`.ps1`\*\*.*

***¿Para qué se usa en pentesting?***

*Rubeus permite ejecutar muchos ataques y operaciones relacionadas con **Kerberos**, clave en la seguridad de Active Directory. Entre sus usos principales:*

***Enumeración y recolección de tickets***

* *`klist`, `tgtdeleg`, `asktgt`: ver o solicitar TGTs*
* *`asktgs`: solicitar TGS para SPNs conocidos*

***Ataques de suplantación y delegación***

* *`s4u` → realizar ataques **S4U2Self + S4U2Proxy** como en RBCD*
* *`ptt` → cargar tickets manualmente en memoria*
* *`asreproast` → robar hashes sin preautenticación (AS-REP roasting)*
* *`kerberoast` → solicitar TGS y crackearlos offline*

***Persistencia y movimiento lateral***

* *`dump` → extraer tickets desde memoria (LSASS)*
* *`renew` → renovar TGTs*
* *`monitor` → detectar emisión de nuevos tickets*

*En resumen*

* ***¿Es solo para Windows?** → Sí, porque depende de la API del sistema.*
* ***¿Es un script .ps1?** → No, es un ejecutable `.exe` de .NET.*
* ***¿Para qué sirve?** → Manipular Kerberos en todas sus formas: obtención, suplantación, cracking, carga y abuso de tickets, especialmente útil en entornos Active Directory comprometidos.*

*Algunos de los módulos más comunes de Rubeus son*

{% code fullWidth="true" %}

```vim
| Módulo         | Descripción                                                                |
|----------------|----------------------------------------------------------------------------|
| `asreproast`   | Realiza AS-REP Roasting contra usuarios sin preautenticación.              |
| `kerberoast`   | Solicita TGS para cuentas con SPN y permite crackearlos offline.           |
| `asktgt`       | Solicita un TGT usando hash RC4 o contraseña.                              |
| `asktgs`       | Solicita un TGS para un SPN usando un TGT válido.                          |
| `tgtdeleg`     | Solicita un TGT delegable desde sesión con TGT válido.                     |
| `s4u`          | Ejecuta S4U2Self + S4U2Proxy para impersonación (usado en RBCD).           |
| `ptt`          | "Pass-the-Ticket": carga un ticket `.kirbi` en memoria.                    |
| `dump`         | Extrae tickets Kerberos de la memoria actual (LSASS).                      |
| `monitor`      | Monitorea la emisión de tickets en tiempo real.                            |
| `renew`        | Renueva un TGT previamente adquirido si es renovable.                      |
| `purge`        | Elimina todos los tickets Kerberos cargados en memoria.                    |
| `hash`         | Calcula hashes Kerberos (rc4, aes) a partir de usuario + contraseña.       |
| `klist`        | Muestra los tickets Kerberos actualmente en memoria.                       |
```

{% endcode %}

***Ver maquinas:*** [***Support***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/support.md#parametros-1) ***(HTB),***&#x20;

***Ver modulos:*** [***Attacking Kerberos***](/securitylayer/maquinas-y-modulos-de-thm/modulos/attacking-kerberos.md) ***(THM),***&#x20;


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/rubeus.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.