Harvesting tickets from Windows
Windows中的票据由lsass(本地安全性机构子系统服务)进程管理和存储,负责处理安全策略。要提取这些票据,需要与lsass进程进行交互。非管理员用户只能访问自己的票据,而管理员有权限提取系统上的所有票据。为此,通常使用Mimikatz和Rubeus工具,它们提供不同的命令和功能。
Mimikatz
Mimikatz是一个多功能工具,可以与Windows安全进行交互。它不仅用于提取票据,还用于各种其他与安全相关的操作。
Rubeus
Rubeus是一款专门针对Kerberos交互和操作的工具。它用于票据提取和处理,以及其他与Kerberos相关的活动。
在使用这些命令时,请确保将 <BASE64_TICKET>
和 <luid>
等占位符替换为实际的 Base64 编码票证和登录 ID。这些工具提供了广泛的功能,用于管理票证并与 Windows 的安全机制进行交互。
参考资料
最后更新于