Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 890

票据传递攻击

审核人Cybersecurity entrepreneur & security researcher

票据传递攻击 是什么?

票据传递攻击针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。


Pass-the-Ticket(PtT)滥用 Kerberos:攻击者将先前窃取的 TGT 或服务票据注入当前登录会话,以原始主体身份访问资源。常见做法是用 Mimikatz 或 Rubeus 从 LSASS 内存或受控主机上的 kirbi 文件中提取票据,然后在另一台机器上注入,以认证到 SMB 共享、MSSQL 或域控制器。MITRE ATT&CK 将其归为 T1550.003(Use Alternate Authentication Material: Pass the Ticket)。常见防御包括启用 Credential Guard、缩短票据有效期、将特权账户加入 Protected Users 组、监控 Kerberos 事件以及检测类似 Mimikatz 的内存读取行为。

示例

  1. 01

    从工作站窃取域管理员的 TGT,并在攻击机上重放以登录域控。

  2. 02

    用 Rubeus 导出票据,并注入到攻击者的主机上以查询 AD。

常见问题

票据传递攻击 是什么?

针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。 它属于网络安全的 攻击与威胁 分类。

票据传递攻击 是什么意思?

针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。

如何防御 票据传递攻击?

针对 票据传递攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。

票据传递攻击 还有哪些其他名称?

常见的别称包括: PtT。

相关术语