18PTT票据传递

# 概述

PTT（Pass The Ticket），票据传递攻击，PTT攻击只能用于Kerberos认证，PTT是通过票据进行认证的。

注意：进行票据的传递，不需要提权，域用户或者system用户即可。

# 原理

![](https://oss.maolin101.com/202501061834341.png-101.webp)

在认证中主要涉及两个票据：TGT与ST

> 如何获取这两票据呢

- 域账户明文密码
- 域账户的NTLM-HASH
- 域账号的AES
- 直接伪造
- 系统漏洞
- 系统本身就存在票据（mimikatz工具命令 Sekurlsa::tickets /export 可导出票据）

> 三种传递

- PTH，NTLM-HASH值进行认证，支持Kerberos与NTLM认证
- PTK，AES值进行认证，只能用于Kerberos认证
- PTT，票据进行认证，只能用于Kerberos认证

# 条件

- 域环境
- 相应的票据（主要为域管理员票据）

# 不同用户权限票据进行认证

> 申请不同票据进行传递

1、利用getTGT工具进行账户密码申请票据

```
getTGT.exe xbxaq.com/administrator:a1b2c3d4..
```

![](https://oss.maolin101.com/202501061834342.png-101.webp)

2、使用mimikatz进行票据加载

```
kerberos::ptc administrator.ccache
```

![](https://oss.maolin101.com/202501061834343.png-101.webp)

3、访问域控的c盘

![](https://oss.maolin101.com/202501061834344.png-101.webp)

4、查看本地票据

cmd中执行klist

![](https://oss.maolin101.com/202501061834345.png-101.webp)

清除本地票据

```
cmd中执行   klist purge
mimikatz中执行 kerberos::purge
```

![](https://oss.maolin101.com/202501061834346.png-101.webp)

5、利用copy、计划任务、添加服务等方法进行CS上线

> administrator 域超级管理员

| 计算机版本                     | 结果 |
| ------------------------------ | ---- |
| Windows server 2008 R2         | 可以 |
| Windows server 2012 R2（域控） | 可以 |
| Windows server 2016 R2         | 可以 |

> xbxaq 普通域管理员

| 计算机版本                     | 结果 |
| ------------------------------ | ---- |
| Windows server 2008 R2         | 可以 |
| Windows server 2012 R2（域控） | 可以 |
| Windows server 2016 R2         | 可以 |

> test 域普通用户

| 计算机版本                     | 结果   |
| ------------------------------ | ------ |
| Windows server 2008 R2         | 不可以 |
| Windows server 2012 R2（域控） | 不可以 |
| Windows server 2016 R2         | 不可以 |