Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 500

黄金票据

审核人Cybersecurity entrepreneur & security researcher

黄金票据 是什么?

黄金票据使用 krbtgt 账户哈希签名伪造的 Kerberos 票据授予票据 (TGT),使攻击者可在整个域中冒充任意主体。


黄金票据(Golden Ticket)是攻击者在获取 krbtgt 账户密码哈希后,在脱机环境中伪造的 TGT,获取方式通常是 DCSync 复制攻击或攻陷域控。由于域内每个 Kerberos TGT 都由 krbtgt 签名,任何持有该哈希的人都可以为任意用户、任意组、任意有效期生成票据,从而获得对域的持久控制权。MITRE ATT&CK 将该技术归为 T1558.001(Steal or Forge Kerberos Tickets: Golden Ticket)。

这种伪造之所以奏效,是因为域控不会针对任何服务端状态去校验它所签发的 TGT——它信任任何能用 krbtgt 密钥解密的 TGT 都是真实的,并读取其中嵌入的 PAC(Privilege Attribute Certificate,特权属性证书)来判定组成员关系。因此攻击者可以将任意 SID(例如 Enterprise Admins 组,RID 519)直接注入 PAC。微软的 MS14-068 补丁(CVE-2014-6324)强化了对一种相关伪造的 PAC 签名校验——在那种攻击中,低权限用户在没有 krbtgt 哈希的情况下伪造 PAC;而真正的黄金票据在打补丁后仍然有效,因为它是用真实的 krbtgt 密钥签名的。

由于 krbtgt 是一个密码几乎从不更改的服务账户,单张票据可以保持数年有效,并且能在所有其他用户的凭据被完全重置后依然存活——这是 NotPetya 时代和 APT 时代偏爱的持久化手法。唯一可靠的清除方式是连续两次轮换 krbtgt 密码(该账户会保留当前密钥和上一个密钥),从而使所有未过期的票据失效。

flowchart TD
  A[攻陷域控] --> B["提取 krbtgt 哈希<br/>通过 DCSync 或 LSASS 转储"]
  B --> C["脱机伪造 TGT<br/>mimikatz kerberos::golden"]
  C --> D["向 PAC 注入特权 SID<br/>例如 Domain / Enterprise Admins"]
  D --> E[Pass-the-Ticket 注入登录会话]
  E --> F[为任意资源申请服务票据]
  F --> G[对域的持久控制]
  H[两次轮换 krbtgt + 审计 DCSync] -.防御.-> B

缓解措施包括:任何域控被攻陷后两次轮换 krbtgt 密码、限制并审计 DCSync(目录复制)权限、实施 Tier-0 分层管理,以及检测异常票据——有效期长得离谱、没有先行 AS-REQ 的账户,或针对从未进行交互式登录的用户出现的事件 4769 请求。

示例

  1. 01

    用 Mimikatz 的 kerberos::golden 命令生成一个有效期 10 年、伪装为 Domain Admin 的虚假用户 TGT。

  2. 02

    事后持久化:即使所有密码被重置,攻击者仍可重新进入域。

常见问题

黄金票据 是什么?

使用 krbtgt 账户哈希签名伪造的 Kerberos 票据授予票据 (TGT),使攻击者可在整个域中冒充任意主体。 它属于网络安全的 攻击与威胁 分类。

黄金票据 是什么意思?

使用 krbtgt 账户哈希签名伪造的 Kerberos 票据授予票据 (TGT),使攻击者可在整个域中冒充任意主体。

如何防御 黄金票据?

针对 黄金票据 的防御通常结合技术控制与运营实践,详见上方完整定义。

相关术语

另见