Harvesting tickets from Windows
Tickets in Windows word bestuur en gestoor deur die lsass (Local Security Authority Subsystem Service) proses, wat verantwoordelik is vir die hantering van sekuriteitsbeleide. Om hierdie tickets te onttrek, is dit nodig om met die lsass-proses te kommunikeer. 'n Nie-administratiewe gebruiker kan slegs toegang tot hul eie tickets verkry, terwyl 'n administrateur die voorreg het om alle tickets op die stelsel te onttrek. Vir sulke operasies word die gereedskap Mimikatz en Rubeus wyd gebruik, elk met verskillende opdragte en funksies.
Mimikatz
Mimikatz is 'n veelsydige hulpmiddel wat met Windows-sekuriteit kan kommunikeer. Dit word nie net gebruik om tickets te onttrek nie, maar ook vir verskeie ander sekuriteitsverwante operasies.
Rubeus
Rubeus is 'n hulpmiddel spesifiek ontwerp vir Kerberos-interaksie en manipulasie. Dit word gebruik vir kaartjie-uitkapping en hantering, sowel as ander Kerberos-verwante aktiwiteite.
Wanneer jy hierdie opdragte gebruik, maak seker om plekhouers soos <BASE64_TICKET>
en <luid>
te vervang met die werklike Base64-gecodeerde kaartjie en Aanmeld-ID onderskeidelik. Hierdie gereedskap bied uitgebreide funksionaliteit vir die bestuur van kaartjies en interaksie met die sekuriteitsmeganismes van Windows.
Verwysings
Last updated