Harvesting tickets from Windows
Kaartjies in Windows word bestuur en gestoor deur die lsass (Local Security Authority Subsystem Service) proses, wat verantwoordelik is vir die hanteer van sekuriteitsbeleide. Om hierdie kaartjies te onttrek, is dit nodig om met die lsass-proses te kommunikeer. 'n Nie-administratiewe gebruiker kan slegs toegang verkry tot hul eie kaartjies, terwyl 'n administrateur die voorreg het om alle kaartjies op die stelsel te onttrek. Vir sulke operasies word die gereedskap Mimikatz en Rubeus wyd gebruik, elk met verskillende opdragte en funksionaliteite.
Mimikatz
Mimikatz is 'n veelsydige gereedskap wat kan kommunikeer met Windows-sekuriteit. Dit word nie net gebruik om kaartjies te onttrek nie, maar ook vir verskeie ander sekuriteitsverwante operasies.
Rubeus
Rubeus is 'n instrument wat spesifiek ontwerp is vir Kerberos-interaksie en manipulasie. Dit word gebruik vir die onttrekking en hanteer van kaartjies, sowel as ander Kerberos-verwante aktiwiteite.
Wanneer jy hierdie opdragte gebruik, verseker dat jy plaatshouers soos <BASE64_TICKET>
en <luid>
vervang met die werklike Base64-geënkripteerde kaartjie en Logon ID onderskeidelik. Hierdie gereedskap bied uitgebreide funksionaliteit vir die bestuur van kaartjies en die interaksie met die sekuriteitsmeganismes van Windows.
Verwysings
Last updated