横向移动中的PtH与PtT实战区别

在企业内部网络被突破后，攻击者往往面临的第一道选择，是把已经获取的凭证向其他主机“搬运”。这一步叫横向移动，而其中最常见的两种手段——PtH（Pass‑the‑Hash）和PtT（Pass‑the‑Ticket）——在实际操作里差异颇大。

PtH：凭证哈希的直接复用

PtH 依赖于 NTLM 哈希本身。攻击者使用 mimikatz sekurlsa::pth /user:admin /domain:corp /ntlm:abcd1234 将哈希注入到本地 LSASS，随后在目标子网的任意机器上以“管理员”身份打开 SMB、RDP 或 WMI 会话。因为哈希不需要明文密码，整个过程几乎不触发密码策略的锁定阈值。但它的局限在于只能在同一域或信任关系中使用，且对基于 Kerberos 的服务（如 Exchange、SQL）失效。

PtT：Kerberos 票据的横向投递

PtT 则把 Kerberos 票据（TGT 或服务票据）直接注入到当前会话的票据缓存。典型命令 mimikatz kerberos::ptt admin.ccache 把已经窃取的票据写入 klist，随后对任何支持 Kerberos 认证的服务发起请求。由于票据自带了时间戳和加密签名，目标系统会把它视作合法登录，甚至可以跨域信任链使用。相对 PtH，PtT 更适合渗透后期的持久化和横向扩展。

实战中两者的关键区别

• 使用对象：PtH 操作哈希，PtT 操作票据；前者针对 NTLM，后者针对 Kerberos。
• 身份范围：PtH 受限于同域或已建立的信任，PtT 可利用跨域信任的票据转发。
• 检测难度：PtH 常在网络流量中留下 SMB/NTLM 认证，容易触发 IDS；PtT 的 Kerberos 票据加密后难以直接捕获。
• 持久化方式：PtH 需要在每次登录时重新注入哈希，PtT 可将票据写入系统缓存，实现“开机即登录”。
• 对服务的兼容性：PtH 对基于 NTLM 的旧系统有效，PtT 对现代 AD 环境的 Exchange、SQL、SharePoint 等服务更具穿透力。
• 后期扩展：获取 TGT 后可利用 kerberos::golden 生成黄金票据，攻击面几乎覆盖整个林；PtH 则难以突破域控的高安全设置。

举个真实项目的例子：在一次金融机构的内部渗透演练中，红队先用 Mimikatz 抽取了管理员的 NTLM 哈希，尝试 PtH 连接文件服务器时被 SIEM 捕获；随后转而利用已窃取的 TGT，执行 PtT 把票据写入目标机器的 Kerberos 缓存，几分钟内便在核心业务服务器上成功打开 PowerShell，完成了对域控的横向提权。这个案例直观展示了两者在速度、隐蔽性以及后期扩展能力上的差距。

从技术选型的角度来看，渗透路线的早期可以先走 PtH 抢占低安全资产，进入内部后立即搜集 Kerberos 票据，转向 PtT 以实现更深层的横向渗透和持久化。