Harvesting tickets from Windows
Last updated
Last updated
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
Windows의 티켓은 보안 정책을 처리하는 lsass (로컬 보안 권한 부여 하위 시스템 서비스) 프로세스에 의해 관리되고 저장됩니다. 이러한 티켓을 추출하려면 lsass 프로세스와 인터페이스해야 합니다. 비관리 사용자만 자신의 티켓에 접근할 수 있으며, 관리자는 시스템의 모든 티켓을 추출할 수 있는 권한을 가집니다. 이러한 작업을 위해 Mimikatz와 Rubeus 도구가 널리 사용되며, 각각 다양한 명령과 기능을 제공합니다.
Mimikatz는 Windows 보안과 상호작용할 수 있는 다목적 도구입니다. 티켓 추출뿐만 아니라 다양한 보안 관련 작업에도 사용됩니다.
Rubeus는 Kerberos 상호작용 및 조작을 위해 특별히 설계된 도구입니다. 티켓 추출 및 처리뿐만 아니라 기타 Kerberos 관련 활동에 사용됩니다.
이 명령을 사용할 때는 <BASE64_TICKET>
및 <luid>
와 같은 자리 표시자를 실제 Base64 인코딩된 티켓 및 로그온 ID로 각각 교체해야 합니다. 이러한 도구는 티켓 관리 및 Windows의 보안 메커니즘과 상호 작용하는 데 광범위한 기능을 제공합니다.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)