Harvesting tickets from Windows
Windows에서 티켓은 보안 정책을 처리하는 lsass (Local Security Authority Subsystem Service) 프로세스에 의해 관리되고 저장됩니다. 이러한 티켓을 추출하기 위해서는 lsass 프로세스와 상호 작용해야 합니다. 비 관리자 사용자는 자신의 티켓에만 액세스할 수 있지만 관리자는 시스템의 모든 티켓을 추출할 권한이 있습니다. 이러한 작업을 위해 Mimikatz와 Rubeus라는 도구가 널리 사용되며, 각각 다른 명령과 기능을 제공합니다.
Mimikatz
Mimikatz는 Windows 보안과 상호 작용할 수 있는 다재다능한 도구입니다. 티켓을 추출하는 것뿐만 아니라 다양한 보안 관련 작업에 사용됩니다.
Rubeus
Rubeus는 Kerberos 상호작용과 조작을 위해 특별히 개발된 도구입니다. 티켓 추출 및 처리뿐만 아니라 다른 Kerberos 관련 작업에 사용됩니다.
이러한 명령을 사용할 때, <BASE64_TICKET>
과 <luid>
와 같은 자리 표시자를 실제로 Base64로 인코딩된 티켓과 로그온 ID로 대체해야 합니다. 이 도구들은 티켓을 관리하고 Windows의 보안 메커니즘과 상호 작용하는 데 광범위한 기능을 제공합니다.
참고 자료
Last updated