黄金票据（Golden Ticket）和白银票据（Silver Ticket）

• 黄金票据（Golden Ticket）和白银票据（Silver Ticket）均是基于 Kerberos协议漏洞 的攻击手段，核心目的是绕过正常认证获取系统权限，但在获取条件、攻击范围、有效期上有本质区别，通俗理解：黄金票据拿“全局通行证”，白银票据拿“单服务门禁卡”。

一 核心定义

1. 黄金票据（Golden Ticket）

• 本质：伪造Kerberos协议中的 TGT（Ticket Granting Ticket，票据授予票据）
• 作用：获取TGT后，可向KDC（密钥分发中心，域控核心组件）申请任意服务的ST（Service Ticket，服务票据），直接掌控整个域环境（域控、域内所有主机/服务均可访问）。

2. 白银票据（Silver Ticket）

• 本质：伪造Kerberos协议中的 ST（Service Ticket，服务票据）
• 作用：无需向KDC申请，直接伪造目标单一服务的ST，仅能访问该特定服务（如文件共享服务CIFS、远程桌面服务RDP等），无法掌控整个域。

二 关键区别

三 核心原理

• Kerberos认证核心是“密钥验证”：只有持有对应账户哈希（相当于“加密钥匙”），才能伪造合法票据，系统验证票据时会用哈希解密，解密成功则认可权限。

1. 黄金票据原理：偷“域级总钥匙”。KRBTGT账户是域控专属的“票据生成账户”，所有TGT都由它的哈希加密生成。
   攻击步骤：
   ① 拿到域KRBTGT账户的NTLM Hash（需域管理员权限，比如通过Minikatz读取域控lsass内存）；
   ② 用Minikatz伪造TGT（黄金票据），自定义有效期和权限；
   ③ 用伪造TGT向KDC申请任意服务的ST，比如域控管理员服务、文件共享服务等，直接掌控全域。

2. 白银票据原理：偷“单服务钥匙”。每个域内服务（如文件共享CIFS、远程桌面RDP、数据库MSSQL）都有专属服务账户（比如主机默认的MachineAccount账户，格式：主机名），服务启动时会加载该账户哈希，用于验证ST。
   攻击步骤：
   ① 拿到目标服务的服务账户哈希（比如想访问某主机的文件共享，就获取该主机MachineAccount$账户的NTLM Hash，普通域用户可通过枚举获取）；
   ② 用Minikatz直接伪造该服务的ST（白银票据），指定服务类型（如CIFS）和目标主机；
   ③ 直接用伪造ST访问目标服务（比如访问文件共享、登录远程桌面），全程不与域控交互，无日志残留。

四 Minikatz实操命令

1. 黄金票据生成命令（需KRBTGT哈希）

# 核心命令（替换<>内参数）mimikatz.exe"kerberos::golden /user:任意用户名 /domain:域名称（如test.com） /sid:域SID（如S-1-5-21-xxx） /krbtgt:KRBTGT账户NTLM哈希 /ticket:golden.ticket"# 加载票据，获取权限mimikatz.exe"kerberos::ptt golden.ticket"# ptt=Pass The Ticket（票据传递）

2. 白银票据生成命令（需服务账户哈希）

以“访问目标主机（PC01）的文件共享服务（CIFS）”为例：

# 核心命令（替换<>内参数）mimikatz.exe"kerberos::golden /user:任意用户名 /domain:域名称（如test.com） /sid:域SID /target:目标主机名（如PC01） /service:CIFS /rc4:目标服务账户NTLM哈希（PC01$的哈希） /ticket:silver.ticket"# 加载票据，访问服务mimikatz.exe"kerberos::ptt silver.ticket"dir\\PC01\c$# 测试访问目标主机C盘共享（成功则说明攻击生效）

五 核心总结

• 黄金票据：拿域控“总钥匙”（KRBTGT哈希），控全域，难度高、隐蔽低；
• 白银票据：拿单服务“小钥匙”（服务账户哈希），控单点，难度低、隐蔽极高。