Harvesting tickets from Windows
Windowsのチケットは、セキュリティポリシーを処理するlsass(Local Security Authority Subsystem Service)プロセスによって管理および保存されます。これらのチケットを抽出するには、lsassプロセスとやり取りする必要があります。管理者はシステム上のすべてのチケットを抽出する権限を持ちますが、管理者以外のユーザーは自分自身のチケットにのみアクセスできます。このような操作には、MimikatzとRubeusというツールが広く使用されており、それぞれ異なるコマンドと機能を提供しています。
Mimikatz
Mimikatzは、Windowsセキュリティとやり取りできる多目的ツールです。チケットの抽出だけでなく、さまざまな他のセキュリティ関連の操作にも使用されます。
Rubeus
Rubeusは、Kerberosとのやり取りや操作に特化したツールです。チケットの抽出や処理、その他のKerberos関連の活動に使用されます。
これらのコマンドを使用する際は、<BASE64_TICKET>
や<luid>
などのプレースホルダーを実際のBase64エンコードされたチケットやログオンIDに置き換えてください。これらのツールは、チケットの管理やWindowsのセキュリティメカニズムとのやり取りに幅広い機能を提供します。
参考文献
Last updated