Harvesting tickets from Windows
I ticket in Windows sono gestiti e archiviati dal processo lsass (Local Security Authority Subsystem Service), responsabile della gestione delle politiche di sicurezza. Per estrarre questi ticket, è necessario interfacciarsi con il processo lsass. Un utente non amministratore può accedere solo ai propri ticket, mentre un amministratore ha il privilegio di estrarre tutti i ticket presenti nel sistema. Per tali operazioni, vengono ampiamente utilizzati gli strumenti Mimikatz e Rubeus, ognuno dei quali offre comandi e funzionalità diverse.
Mimikatz
Mimikatz è uno strumento versatile che può interagire con la sicurezza di Windows. Viene utilizzato non solo per l'estrazione dei ticket, ma anche per varie altre operazioni legate alla sicurezza.
Rubeus
Rubeus è uno strumento appositamente progettato per l'interazione e la manipolazione di Kerberos. Viene utilizzato per l'estrazione e la gestione dei ticket, nonché per altre attività legate a Kerberos.
Quando si utilizzano questi comandi, assicurarsi di sostituire i segnaposto come <BASE64_TICKET>
e <luid>
con il ticket codificato in Base64 e l'ID di accesso effettivo rispettivamente. Questi strumenti forniscono una vasta funzionalità per la gestione dei ticket e l'interazione con i meccanismi di sicurezza di Windows.
Riferimenti
Last updated