黄金票据(Golden Ticket),在内网渗透中,是最高权限的象征,是通往域控制器(DC)的万能钥匙。
为了让你理解它,我们先不讲枯燥的 Kerberos 协议,我们来打个比方。
一、 通俗比喻:伪造的 “全球通行证”
想象一下,域控制器(DC)是一家超级大公司的总经理办公室。
正常流程(银票据 / 普通票据):你(普通域用户)想去总经理办公室。你得先去前台(AS 服务器),出示你的工牌(密码 / Hash),前台验证通过,给你一张 **“会客单”(TGT 票据)**。你拿着这张单子去门口,保安(TGS 服务器)看了一眼,说:“行,你可以进去复印个文件(访问特定服务)”。
- 缺点:权限受限,时间受限,而且前台(KDC)随时可以撤销你的单子。
黄金票据流程(伪造):你是个黑客。你不需要去前台验证身份。因为你偷走了总经理的 **“私章”(也就是krbtgt 账号的 Hash)。你自己在路边摊打印了一张纸,盖上这个私章,上面写着:“我是上帝,我可以访问公司里的任何东西,永远有效。”**
当你拿着这张纸走到门口时,保安(TGS)只认章,不认人。因为这个章是全公司唯一的,只有总经理(KRBTGT)才有。保安一看章是真的,立马敬礼放行:“老板好!”
二、 技术原理(精髓部分)
在 Windows 域环境(Active Directory)中,有一个核心服务叫Kerberos,负责身份认证。
核心人物:krbtgt这是域里的一个隐藏账号,专门用来给所有的票据(Ticket)“盖章”(加密 / 签名)。
- 注意:这个账号不是 Administrator,它比 Administrator 更底层,更核心。
黄金票据的原理:黑客通过某种手段(比如之前的跳板机提权),dump 出了 krbtgt 的 Hash 值。有了这个 Hash,黑客就可以使用工具(如 Mimikatz),在本地自己生成一个 TGT(门票)。
为什么它是 “黄金” 的?
- 伪造身份:你可以把票据里的用户写成
Administrator或者Domain Admins组的成员。 - 绕过 KDC:正常的票据需要 KDC(域控)颁发,黄金票据是你自己造的,不需要经过 KDC。
- 无法撤销:只要 krbtgt 的 Hash 没变,这张票永远有效。即使你改了域管理员的密码,黄金票据依然能用。
- 伪造身份:你可以把票据里的用户写成
三、 实战中的样子(画面感)
假设你已经拿到了跳板机权限,并且通过 DCSync 或者其他方式拿到了krbtgt的 Hash。
在 Kali 或 受害者机器的 Mimikatz 中,你会看到这样的命令:
powershell
# 生成黄金票据 kerberos::golden /domain:pentest.local /sid:S-1-5-21-xxxxxx /rc4:<krbtgt_hash> /user:Administrator /ptt/domain: 目标域名。/sid: 域的 SID(安全标识符)。/rc4:最关键的地方,这里填 krbtgt 的 NTLM Hash。/user: 你想伪装成谁(比如 Administrator)。/ptt: Pass The Ticket(把生成的票注入到内存中)。
执行完这行命令后,下一秒:你输入dir \\DC01\C$,直接就能看到域控制器的 C 盘文件了。没有密码,没有交互,直接进入。这就是黄金票据的恐怖之处。
)
)
