文章总结： 本文系统梳理AD域持久化技术，重点分析GoldenTicket和SilverTicket的攻击原理。GoldenTicket通过伪造Kerberos票据实现长期潜伏，即使重置密码仍有效；SilverTicket则利用服务账户哈希实现无日志攻击。文档详细说明每种技术的植入方法、检测指标（如票据有效期异常）及清除步骤（如重置krbtgt密码两次），为蓝队提供实战对抗方案。 综合评分： 85 文章分类： 红队,内网渗透,漏洞分析,应急响应,威胁情报

赶不走的幽灵：AD域持久化技术与检测对抗

原创

极客零零七 极客零零七

极客零零七

2026年4月17日 14:30 加拿大

在小说阅读器读本章

去阅读

极客零零七 · AD攻击系列 · 第8篇

拿到域控不是终点。对红队来说，真正的挑战是如何在蓝队的清理行动中存活下来。对蓝队来说，确认域控被攻破后最痛苦的问题是：我以为我清理干净了，但攻击者还在。

本文从攻击者视角，系统梳理AD持久化技术——从经典的Golden Ticket到隐蔽的AdminSDHolder、Skeleton Key、SID History注入。每种技术都说清楚三件事：怎么种、怎么查、怎么清。

一、Golden Ticket：最经典的持久化

前文（第2篇）已详细讲解原理。这里聚焦持久化的实战细节。

为什么Golden Ticket是持久化之王

| 特性 | 说明 | | — | — | | 不依赖任何账户密码 | 即使所有用户密码重置，Golden Ticket仍然有效 | | 可设置任意有效期 | 通常设置10年 | | 可伪造任意用户 | 包括不存在的用户 | | 不在DC上留下会话 | 票据在客户端生成 | | 唯一清除方式 | 重置krbtgt密码两次 |

攻击者的持久化操作

## 获取krbtgt哈希后，生成多张Golden Ticket保存到安全位置## 票据1：伪造Administrator，有效期10年impacket-ticketer -nthash <KRBTGT_HASH> -domain-sid S-1-5-21-xxx -domain domain.local -duration 3650 Administrator
## 票据2：伪造一个看似正常的用户名（更隐蔽）impacket-ticketer -nthash <KRBTGT_HASH> -domain-sid S-1-5-21-xxx -domain domain.local -duration 3650 svc_monitor
## 保存到安全位置，随时可用

蓝队检测

检测点1：票据有效期异常  - 正常TGT有效期：10小时（默认策略）  - Golden Ticket有效期：通常远超10小时  - 监控4768/4769事件中的票据生命周期
检测点2：不存在的用户名  - 如果票据中的用户名在AD中不存在，说明是伪造的  - 但攻击者通常会使用真实存在的用户名来规避
检测点3：RID不匹配  - Golden Ticket中的用户名和RID可以不匹配  - 比如票据声称是"svc_monitor"但RID是500（Administrator）

清除方式

krbtgt密码必须重置两次——因为AD保留密码历史中前一个密码，仍可用于验证旧票据。

## 第一次重置Reset-KrbtgtKeyInteractive  # 微软官方脚本
## 等待至少12小时（确保复制完成、旧票据过期）
## 第二次重置Reset-KrbtgtKeyInteractive
## 警告：这会导致所有现有Kerberos票据失效## 所有用户需要重新认证，所有服务需要获取新票据## 必须在维护窗口执行

二、Silver Ticket持久化：无声的寄生

持久化优势

Silver Ticket不经过KDC验证，域控上不会产生任何日志。攻击者只需要目标服务账户/机器账户的哈希。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《赶不走的幽灵：AD域持久化技术与检测对抗》