Dies soll keine Anleitung (wie immer) werden, deswegen beschreibe ich hier auch nur grob die Schritte.
Wir können uns gegenüber einem Domain Controller nicht nur als Benutzer ausgeben – besser wäre doch wenn man sich selbst als Domain-Controller ausgeben könnte, oder? Das geht mit dem Account krbtgt (Kerberos Ticket Granting Ticket). Dieses Ticket hat einer Dauer von 10 Jahren und kann im Prinzip an jeden User gebunden werden. Man kann jedoch auch einen nicht existierenden Benutzer damit Autorisieren – dieser hat aber nur eine Dauer von 20 Minuten. Vorteil für den Angreifer hierbei ist das man diesen Benutzer nicht im AD sehen kann.
Sobald man dieses Golden Ticket in seinem Besitz hat kann man mit PTH sich wieder Domänen-Administratorrechte verschaffen.