黄金票据（Golden Ticket），在内网渗透中，是最高权限的象征，是通往域控制器（DC）的万能钥匙。

为了让你理解它，我们先不讲枯燥的 Kerberos 协议，我们来打个比方。

一、 通俗比喻：伪造的 “全球通行证”

想象一下，域控制器（DC）是一家超级大公司的总经理办公室。

1. 正常流程（银票据 / 普通票据）：你（普通域用户）想去总经理办公室。你得先去前台（AS 服务器），出示你的工牌（密码 / Hash），前台验证通过，给你一张 **“会客单”（TGT 票据）**。你拿着这张单子去门口，保安（TGS 服务器）看了一眼，说：“行，你可以进去复印个文件（访问特定服务）”。

   • 缺点：权限受限，时间受限，而且前台（KDC）随时可以撤销你的单子。

2. 黄金票据流程（伪造）：你是个黑客。你不需要去前台验证身份。因为你偷走了总经理的 **“私章”（也就是krbtgt 账号的 Hash）。你自己在路边摊打印了一张纸，盖上这个私章，上面写着：“我是上帝，我可以访问公司里的任何东西，永远有效。”**

   当你拿着这张纸走到门口时，保安（TGS）只认章，不认人。因为这个章是全公司唯一的，只有总经理（KRBTGT）才有。保安一看章是真的，立马敬礼放行：“老板好！”

二、 技术原理（精髓部分）

在 Windows 域环境（Active Directory）中，有一个核心服务叫Kerberos，负责身份认证。

1. 核心人物：krbtgt这是域里的一个隐藏账号，专门用来给所有的票据（Ticket）“盖章”（加密 / 签名）。

   • 注意：这个账号不是 Administrator，它比 Administrator 更底层，更核心。

2. 黄金票据的原理：黑客通过某种手段（比如之前的跳板机提权），dump 出了 krbtgt 的 Hash 值。有了这个 Hash，黑客就可以使用工具（如 Mimikatz），在本地自己生成一个 TGT（门票）。

3. 为什么它是 “黄金” 的？

   • 伪造身份：你可以把票据里的用户写成Administrator或者Domain Admins组的成员。
   • 绕过 KDC：正常的票据需要 KDC（域控）颁发，黄金票据是你自己造的，不需要经过 KDC。
   • 无法撤销：只要 krbtgt 的 Hash 没变，这张票永远有效。即使你改了域管理员的密码，黄金票据依然能用。

三、 实战中的样子（画面感）

假设你已经拿到了跳板机权限，并且通过 DCSync 或者其他方式拿到了krbtgt的 Hash。

在 Kali 或 受害者机器的 Mimikatz 中，你会看到这样的命令：

powershell

# 生成黄金票据 kerberos::golden /domain:pentest.local /sid:S-1-5-21-xxxxxx /rc4:<krbtgt_hash> /user:Administrator /ptt

• /domain: 目标域名。
• /sid: 域的 SID（安全标识符）。
• /rc4:最关键的地方，这里填 krbtgt 的 NTLM Hash。
• /user: 你想伪装成谁（比如 Administrator）。
• /ptt: Pass The Ticket（把生成的票注入到内存中）。

执行完这行命令后，下一秒：你输入dir \\DC01\C$，直接就能看到域控制器的 C 盘文件了。没有密码，没有交互，直接进入。这就是黄金票据的恐怖之处。