Harvesting tickets from Windows
Karte u Windowsu se upravljaju i čuvaju od strane lsass (Local Security Authority Subsystem Service) procesa, odgovornog za upravljanje sigurnosnim politikama. Da biste izvukli ove karte, neophodno je da komunicirate sa lsass procesom. Neadministrativni korisnik može pristupiti samo svojim kartama, dok administrator ima privilegiju da izvuče sve karte sa sistema. Za takve operacije, široko se koriste alati Mimikatz i Rubeus, koji nude različite komande i funkcionalnosti.
Mimikatz
Mimikatz je vešti alat koji može da komunicira sa Windows sigurnošću. Koristi se ne samo za izvlačenje karata, već i za razne druge sigurnosne operacije.
Rubeus
Rubeus je alat posebno prilagođen za interakciju i manipulaciju Kerberosom. Koristi se za izvlačenje i upravljanje karticama, kao i za druge aktivnosti vezane za Kerberos.
Prilikom korišćenja ovih komandi, obavezno zamenite placeholder-e poput <BASE64_TICKET>
i <luid>
sa stvarnim Base64 enkodiranim tiketom i Logon ID-jem, redom. Ovi alati pružaju obimnu funkcionalnost za upravljanje tiketima i interakciju sa sigurnosnim mehanizmima Windows-a.
Reference
Last updated