* Şirketinizi HackTricks'te **reklamınızı görmek** veya **HackTricks'i PDF olarak indirmek** için [**ABONELİK PLANLARI**](https://github.com/sponsors/carlospolop)'na göz atın!
Bir **Altın Bilet** saldırısı, **herhangi bir kullanıcıyı taklit eden meşru bir Bilet Verme Bileti (TGT) oluşturma** işlemidir ve bunun için **Active Directory (AD) krbtgt hesabının NTLM karmasının kullanılması** gerekmektedir. Bu teknik, taklit edilen kullanıcı olarak **alan içindeki herhangi bir hizmete veya makineye erişimi mümkün kılar** ve bu nedenle oldukça avantajlıdır. **krbtgt hesabının kimlik bilgileri otomatik olarak güncellenmez**.
krbtgt hesabının NTLM karmasını**edinmek için** çeşitli yöntemler kullanılabilir. Bu, **Etki Alanı Denetleyicisi (DC) içindeki herhangi bir Domain Controller (DC)'de bulunan Local Security Authority Subsystem Service (LSASS) sürecinden** veya **NT Directory Services (NTDS.dit) dosyasından** çıkarılabilir. Ayrıca, bu NTLM karmasını elde etmek için **DCsync saldırısı gerçekleştirmek** de başka bir stratejidir ve bunun için Mimikatz'deki **lsadump::dcsync modülü** veya Impacket'teki **secretsdump.py betiği** gibi araçlar kullanılabilir. Bu işlemleri gerçekleştirmek için genellikle **etki alanı yönetici ayrıcalıkları veya benzer bir erişim düzeyi gereklidir**.
NTLM karması bu amaç için uygun bir yöntem olsa da, işletme güvenliği nedenleriyle **Gelişmiş Şifreleme Standardı (AES) Kerberos anahtarları (AES128 ve AES256) kullanarak biletlerin sahteciliği yapılması şiddetle önerilir**.
**Altın bileti enjekte ettiğinizde**, paylaşılan dosyalara **(C$)** erişebilir ve hizmetleri ve WMI'ı çalıştırabilirsiniz, bu nedenle bir kabuk elde etmek için **psexec** veya **wmiexec** kullanabilirsiniz (winrm üzerinden kabuk alamazsınız gibi görünüyor).
Altın bileti tespit etmenin en yaygın yolları, **Kerberos trafiğini** incelemektir. Varsayılan olarak, Mimikatz, TGT'yi **10 yıl için imzalar**, bu da onunla yapılan sonraki TGS isteklerinde anormal olarak öne çıkar.
Başlangıç ofsetini, süreyi ve maksimum yenilemeleri (hepsi dakika cinsinden) kontrol etmek için `/startoffset`, `/endin` ve `/renewmax` parametrelerini kullanın.
Maalesef, TGT'nin ömrü 4769'da kaydedilmez, bu yüzden bu bilgiyi Windows olay günlüklerinde bulamazsınız. Bununla birlikte, **bir önceki 4768 olmadan 4769 görmeniz** mümkündür. Bir TGS talep etmek TGT olmadan mümkün değildir ve bir TGT'nin verildiğine dair bir kayıt olmadığı durumda, bunun çevrimdışı olarak sahte olduğunu çıkarabiliriz.
* Şirketinizi HackTricks'te **reklamınızı görmek veya HackTricks'i PDF olarak indirmek** için [**ABONELİK PLANLARI**](https://github.com/sponsors/carlospolop)'na göz atın!
* Özel [**NFT'lerden**](https://opensea.io/collection/the-peass-family) oluşan koleksiyonumuz [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)'u **takip edin**.
