文章总结： 黄金票据攻击是ActiveDirectory域环境中的终极权限维持技术，攻击者通过获取KRBTGT账户的NTLM哈希，利用mimikatz伪造任意用户的TGT票据，实现对整个域环境的持久化控制且难以被常规手段清除。文章详细阐述了Kerberos认证原理与攻击实施前提，给出了具体的mimikatz操作命令与参数说明，并指出即便重置域管密码也无法使伪造票据失效。防御方面建议连续两次重置KRBTGT密码、限制DCSync权限、强化Kerberos审计以及采用分层管理模型来降低风险。 综合评分： 91 文章分类： 内网渗透,红队,渗透测试,漏洞分析,应急响应

黄金票据攻击

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年3月17日 10:04 安徽

在所有 Active Directory 攻击技术中，Golden Ticket（黄金票据） 被公认为“终极权限获取手段”之一。 一旦攻击者成功实施该攻击，几乎可以永久性地控制整个域环境，而且不需要反复与域控制器进行交互。

本文将围绕以下几个方面展开：

• Kerberos 与 Golden Ticket 的基本原理
• Golden Ticket 在 MITRE ATT&CK 中的位置
• 使用 mimikatz 伪造黄金票据的实际步骤
• 黄金票据的攻击效果
• 防御与检测思路

一、Kerberos 与黄金票据的原理概述

1. Kerberos 的作用

在 Windows 域环境中，Kerberos 是默认的身份认证协议，其核心目标是：

• 证明“你是谁”
• 决定“你能访问什么”

在 Kerberos 体系中，有一个极其关键的账户：

KRBTGT

该账户是 域内所有 Kerberos 票据的签发者，其密码（或 Hash）用于：

• 对 Ticket Granting Ticket（TGT）进行签名和加密

2. 什么是 Golden Ticket？

黄金票据（Golden Ticket） 指的是：

利用 KRBTGT 的密码 Hash，伪造任意用户的 TGT

一旦攻击者掌握了 KRBTGT 的 Hash：

• 可以假扮域内任意用户

• 可以自行指定用户的：

• 用户名

• SID

• 组成员身份

• 票据有效期

而 域控制器无法区分伪造的票据和真实票据。

二、MITRE ATT&CK 中的位置

在 MITRE ATT&CK 框架中，Kerberos 相关攻击统一归类为：

• T1558 – Steal or Forge Kerberos Tickets

• T1558.001 – Golden Ticket

这类攻击通常出现在：

• 高权限后渗透阶段
• 域控安全失守之后

三、实施黄金票据攻击的前提条件

要成功伪造 Golden Ticket，攻击者通常需要满足以下条件：

• 已获得 KRBTGT 账户的密码 Hash

• 通常通过 DCSync（T1003.006）

• 已知以下域信息：

• 域名

• 域 SID

• 具备在目标主机上执行票据注入的能力

一旦满足这些条件，攻击几乎是离线完成的。

四、使用 mimikatz 生成并注入 Golden Ticket

在你提供的示例中，所有操作都是在 mimikatz 中完成的。

1. 黄金票据生成与注入命令

mimikatz # kerberos::golden /domain:hsilab.local \
/sid:S-1-5-21-3820249588-2714279601-2010283218 \
/krbtgt:f140b9890a4fead6d8c09b40c10ede17 \
/user:Administrator /id:500 /ptt

2. 参数含义说明

| 参数 | 含义 | | — | — | | /domain | 目标域的 FQDN | | /sid | 域 SID | | /krbtgt | KRBTGT 账户的 NTLM Hash | | /user | 伪造的用户名 | | /id | 用户 RID（500 代表默认 Administrator） | | /ptt | Pass-The-Ticket，立即注入当前会话 |

3. 命令执行结果

Golden ticket for 'Administrator @ hsilab.local' successfully
submitted for current session

关键点在于：

票据被直接注入当前会话，无需重新登录

五、黄金票据能做什么？

一旦黄金票据注入成功，其攻击效果接近“无敌”：

• ✅ 以任意用户身份访问域资源
• ✅ 访问域控、文件服务器、数据库服务器
• ✅ 执行远程管理操作（SMB、WMI、WinRM）
• ✅ 作为后续攻击的长期持久化手段

尤其需要注意的是：

即便重置域管理员密码，也无法使 Golden Ticket 失效

六、为什么 Golden Ticket 如此危险？

原因只有一个：

它绕过了域控制器对用户身份的正常校验流程

只要 KRBTGT Hash 不变：

• DC 就会持续信任伪造的票据
• 攻击者可以设定极长的票据生命周期（如 10 年）

七、防御视角：如何应对黄金票据攻击？

1. 重置 krbtgt 密码（必须两次）

• 官方建议：

• 连续重置 krbtgt 密码两次

• 原因：

• Kerberos 会缓存历史密钥

• 单次重置无法完全失效旧票据

2. 限制 DCSync 权限

• 定期审计以下权限：

• Replicating Directory Changes

• Replicating Directory Changes All

• 防止非必要账户具备复制能力

3. 强化日志与检测能力

• 启用 Kerberos 审计

• 检测异常特征：

• 极长生命周期的票据

• 非常规主机注入 Kerberos 票据

• 不符合实际结构的组 ID

4. 减少域管理员暴露面

• 不在普通服务器登录域管理员
• 采用 Tiered Admin Model
• 使用 PAW（特权访问工作站）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《黄金票据攻击》