Active Directory，Kerberos Silver Tickets，AD域，银票证

Skip Duckwall ， Benjamin Delphy，2014 的文章：
https://www.blackhat.com/docs/us-14/materials/us-14-Duckwall-Abusing-Microsoft-Kerberos-Sorry-You-Guys-Don’t-Get-It-wp.pdf

Kerberos PAC Validation，Kerberos PAC 验证：
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-apds/1d1f2b0c-8e8a-4d2a-8665-508d04976f84

[MS-PAC]: Privilege Attribute Certificate Data Structure ：
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-pac/166d8064-c863-41e1-9c23-edaaa5f36962

How Attackers Use Kerberos Silver Tickets to Exploit Systems 利用银票证（NOV 17，2015）：
https://adsecurity.org/?p=2011

Silver Tickets被翻译成银票，实际和“银票”原本的中文意思不同，Silver Tickets用作访问域中的SPN资源，不作为“货币”，所以叫做“银票证”。

SPN是Service Principal Name，服务主体名称（https://learn.microsoft.com/en-us/windows/win32/ad/service-principal-names），例如域中的一个服务器、一台打印机。

服务票证包含在Kerberos身份认证过程中的TSG-REP里，使用服务账户和域控制器掌握的密码哈希进行加密。Kerberos在进行服务身份验证的时候，最终会将服务票证中和AP-REQ中的用户身份进行比较，如果一致则验证成功。然而，应用程序可能不会验证服务票证中的用户和组权限。对于另一项保险措施，PAC验证，也有可能未被启用。

如果得到了服务帐户密码或其关联的 NTLM 哈希值，我们就可以伪造自己的服务票证，以便访问受限制的资源。这种定制创建的票证称为银票证。即，目标服务要验证我们的身份证和门票，但不验证身份证和门票的真实性，因为理想状况下，目标服务认为这些都是不可更改的，所以默认了身份证和门票具有完整性；在这种特定情景下，目标服务只验证身份证和门票上的用户信息是否一致，如果一致，则验证成功；这为伪造提供了条件，如果可以同时修改身份证和门票上的个人信息，则对于处于类似情景的原先受限制的服务，我们都可以进行访问。