Harvesting tickets from Windows
Τα εισιτήρια στα Windows διαχειρίζονται και αποθηκεύονται από τη διεργασία lsass (Local Security Authority Subsystem Service), η οποία είναι υπεύθυνη για την χειρισμό των πολιτικών ασφαλείας. Για να εξαχθούν αυτά τα εισιτήρια, είναι απαραίτητο να αλληλεπιδράσετε με τη διεργασία lsass. Ένας μη-διαχειριστικός χρήστης μπορεί να έχει πρόσβαση μόνο στα δικά του εισιτήρια, ενώ ένας διαχειριστής έχει την προνομιούχα δυνατότητα να εξάγει όλα τα εισιτήρια στο σύστημα. Για τέτοιες λειτουργίες, χρησιμοποιούνται ευρέως τα εργαλεία Mimikatz και Rubeus, τα οποία προσφέρουν διάφορες εντολές και λειτουργίες.
Mimikatz
Το Mimikatz είναι ένα ευέλικτο εργαλείο που μπορεί να αλληλεπιδράσει με την ασφάλεια των Windows. Χρησιμοποιείται όχι μόνο για την εξαγωγή εισιτηρίων, αλλά και για διάφορες άλλες λειτουργίες που σχετίζονται με την ασφάλεια.
Rubeus
Το Rubeus είναι ένα εργαλείο που έχει σχεδιαστεί ειδικά για την αλληλεπίδραση και την αλλαγή του Kerberos. Χρησιμοποιείται για την εξαγωγή και την διαχείριση εισιτηρίων, καθώς και για άλλες δραστηριότητες που σχετίζονται με το Kerberos.
Όταν χρησιμοποιείτε αυτές τις εντολές, βεβαιωθείτε ότι αντικαθιστάτε τις θέσεις κράτησης όπως <BASE64_TICKET>
και <luid>
με το πραγματικό κωδικοποιημένο Base64 εισιτήριο και το αναγνωριστικό σύνδεσης (Logon ID) αντίστοιχα. Αυτά τα εργαλεία παρέχουν εκτεταμένη λειτουργικότητα για τη διαχείριση εισιτηρίων και την αλληλεπίδραση με τους μηχανισμούς ασφαλείας των Windows.
Αναφορές
Last updated