conducting-pass-the-ticket-attack
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
Best use case
conducting-pass-the-ticket-attack is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
Teams using conducting-pass-the-ticket-attack should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/conducting-pass-the-ticket-attack/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How conducting-pass-the-ticket-attack Compares
| Feature / Agent | conducting-pass-the-ticket-attack | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行票据传递攻击 ## 概述 票据传递(PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制主机的内存(LSASS)中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话,以模拟票据所有者身份并以该用户身份访问资源。 ## MITRE ATT&CK 映射 - **T1550.003** - 使用替代认证材料:票据传递 - **T1003.001** - 操作系统凭据转储:LSASS 内存 - **T1558** - 窃取或伪造 Kerberos 票据 - **T1021.002** - 远程服务:SMB/Windows 管理共享 ## 实施步骤 ### 阶段一:票据提取 1. 获取目标工作站的本地管理员访问权限 2. 使用 Mimikatz 或 Rubeus 从 LSASS 内存中转储 Kerberos 票据 3. 以 .kirbi 格式(Mimikatz)或 base64(Rubeus)导出票据 4. 识别高价值票据(域管理员 TGT、关键系统的服务票据) ### 阶段二:票据注入 1. 清除攻击者会话中的现有 Kerberos 票据 2. 将窃取的票据导入/注入当前会话 3. 验证票据已加载且有效 4. 使用注入的票据访问目标资源 ### 阶段三:横向移动 1. 使用窃取的票据身份访问远程系统 2. 以被模拟用户的身份执行操作 3. 从被访问系统收集额外凭据 4. 记录成功横向移动的证据 ## 工具与资源 | 工具 | 用途 | 命令 | |------|---------|---------| | Mimikatz | 票据导出/导入 | sekurlsa::tickets /export, kerberos::ptt | | Rubeus | 票据转储和注入 | dump, ptt, tgtdeleg | | Impacket ticketConverter | 格式转换 | ticketConverter.py ticket.kirbi ticket.ccache | | Impacket psexec/smbexec | 使用票据远程执行 | KRB5CCNAME=ticket.ccache psexec.py | ## 检测指标 - 来自异常客户端地址的事件 ID 4768 - 来自意外主机的事件 ID 4769 服务票据请求 - 从与 TGT 签发时不同的 IP 使用 TGT - 同一票据在不同工作站上的多次认证 ## 验证标准 - [ ] 已从被控主机提取 Kerberos 票据 - [ ] 票据已注入攻击者会话 - [ ] 使用窃取的票据已演示横向移动 - [ ] 已捕获证据用于报告
Related Skills
recovering-from-ransomware-attack
按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-vlan-hopping-attack
在授权环境中使用交换机欺骗(Switch Spoofing)和双标签(Double Tagging)技术模拟 VLAN 跳转攻击, 测试 VLAN 分段有效性,并验证交换机端口安全配置对二层旁路攻击的抵御能力。
performing-supply-chain-attack-simulation
模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。
performing-ssl-stripping-attack
在授权环境中使用 sslstrip、Bettercap 和 mitmproxy 模拟 SSL 剥离(SSL Stripping)攻击, 测试 HSTS 强制执行、证书验证以及保护用户免受加密连接降级攻击的 HTTPS 升级机制。
performing-packet-injection-attack
在授权安全评估中使用 Scapy、hping3 和 Nemesis 构造并注入自定义网络数据包, 测试防火墙规则、IDS 检测、协议处理能力以及网络协议栈对畸形和伪造流量的抵御能力。
performing-mobile-app-certificate-pinning-bypass
在授权安全评估期间,绕过 Android 和 iOS 应用中的 SSL/TLS 证书固定实现,以启用流量拦截。 涵盖使用 Frida、Objection 和自定义脚本对 OkHttp、TrustManager、NSURLSession 及第三方固定库的绕过技术。适合证书固定绕过、SSL 固定破解、移动 TLS 拦截 或代理抗性应用测试相关请求。
performing-kerberoasting-attack
Kerberoasting 是一种后渗透技术,通过为设置了服务主体名称(SPN)的账户请求 Kerberos TGS 票据来针对活动目录中的服务账户。这些票据用服务账户的 NTLM 哈希加密,允许在不产生登录失败事件的情况下进行离线暴力破解。
performing-jwt-none-algorithm-attack
通过操纵 JSON Web Token 中的 alg 头部字段,执行并测试 JWT None 算法攻击,以绕过签名验证。