Harvesting tickets from Windows
Квитки в Windows керуються та зберігаються процесом lsass (Local Security Authority Subsystem Service), відповідальним за обробку політик безпеки. Для вилучення цих квитків необхідно взаємодіяти з процесом lsass. Неадміністративний користувач може отримати доступ лише до своїх квитків, тоді як адміністратор має привілей вилучати всі квитки на системі. Для таких операцій широко використовуються інструменти Mimikatz та Rubeus, кожен з яких пропонує різні команди та функціонал.
Mimikatz
Mimikatz - це універсальний інструмент, який може взаємодіяти з безпекою Windows. Він використовується не лише для вилучення квитків, але й для різних інших операцій, пов'язаних з безпекою.
Rubeus
Rubeus - це інструмент, спеціально розроблений для взаємодії та маніпулювання Kerberos. Він використовується для видобутку та обробки квитків, а також для інших пов'язаних з Kerberos дій.
Під час використання цих команд, переконайтеся, що заміните заповнювачі, такі як <BASE64_TICKET>
та <luid>
, фактичними закодованими у Base64 квитком та ідентифікатором входу в систему відповідно. Ці інструменти надають широкі можливості для керування квитками та взаємодії з механізмами безпеки Windows.
Посилання
Last updated