killvxk/conducting-pass-the-ticket-attack
skills/conducting-pass-the-ticket-attack/SKILL.md
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh conducting-pass-the-ticket-attackInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 29, 2026, 8:22 AM402.8s7 files scanned
SKILL.md
- name:
- conducting-pass-the-ticket-attack
- description:
- 票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
- domain:
- cybersecurity
- subdomain:
- red-teaming
- tags:
- [red-team, adversary-simulation, mitre-attack, exploitation, post-exploitation, kerberos, pass-the-ticket, lateral-movement]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
执行票据传递攻击
概述
票据传递(PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制主机的内存(LSASS)中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话,以模拟票据所有者身份并以该用户身份访问资源。
MITRE ATT&CK 映射
- T1550.003 - 使用替代认证材料:票据传递
- T1003.001 - 操作系统凭据转储:LSASS 内存
- T1558 - 窃取或伪造 Kerberos 票据
- T1021.002 - 远程服务:SMB/Windows 管理共享
实施步骤
阶段一:票据提取
- 获取目标工作站的本地管理员访问权限
- 使用 Mimikatz 或 Rubeus 从 LSASS 内存中转储 Kerberos 票据
- 以 .kirbi 格式(Mimikatz)或 base64(Rubeus)导出票据
- 识别高价值票据(域管理员 TGT、关键系统的服务票据)
阶段二:票据注入
- 清除攻击者会话中的现有 Kerberos 票据
- 将窃取的票据导入/注入当前会话
- 验证票据已加载且有效
- 使用注入的票据访问目标资源
阶段三:横向移动
- 使用窃取的票据身份访问远程系统
- 以被模拟用户的身份执行操作
- 从被访问系统收集额外凭据
- 记录成功横向移动的证据
工具与资源
| 工具 | 用途 | 命令 | |------|---------|---------| | Mimikatz | 票据导出/导入 | sekurlsa::tickets /export, kerberos::ptt | | Rubeus | 票据转储和注入 | dump, ptt, tgtdeleg | | Impacket ticketConverter | 格式转换 | ticketConverter.py ticket.kirbi ticket.ccache | | Impacket psexec/smbexec | 使用票据远程执行 | KRB5CCNAME=ticket.ccache psexec.py |
检测指标
- 来自异常客户端地址的事件 ID 4768
- 来自意外主机的事件 ID 4769 服务票据请求
- 从与 TGT 签发时不同的 IP 使用 TGT
- 同一票据在不同工作站上的多次认证
验证标准
- [ ] 已从被控主机提取 Kerberos 票据
- [ ] 票据已注入攻击者会话
- [ ] 使用窃取的票据已演示横向移动
- [ ] 已捕获证据用于报告
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-network-penetration-test
testing
VerifiedTrustedCommunity
对授权目标环境执行全面网络渗透测试,通过主机发现、端口扫描、服务枚举、漏洞识别和受控漏洞利用,评估网络基础设施的安全态势。测试人员遵循 PTES 方法论,从侦察到后渗透和报告全流程执行。
10SKILL.mdUpdated Apr 29, 2026