5.4 KiB
Diamond Ticket
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Diamond Ticket
Όπως ένα χρυσό εισιτήριο, ένα διαμαντένιο εισιτήριο είναι ένα TGT που μπορεί να χρησιμοποιηθεί για να αποκτήσει πρόσβαση σε οποιαδήποτε υπηρεσία ως οποιοσδήποτε χρήστης. Ένα χρυσό εισιτήριο κατασκευάζεται εντελώς εκτός σύνδεσης, κρυπτογραφημένο με το hash krbtgt αυτού του τομέα, και στη συνέχεια εισάγεται σε μια συνεδρία σύνδεσης για χρήση. Επειδή οι ελεγκτές τομέα δεν παρακολουθούν τα TGT που έχουν εκδοθεί νόμιμα, θα αποδεχτούν ευχαρίστως TGT που είναι κρυπτογραφημένα με το δικό τους hash krbtgt.
Υπάρχουν δύο κοινές τεχνικές για να ανιχνεύσετε τη χρήση χρυσών εισιτηρίων:
- Αναζητήστε TGS-REQs που δεν έχουν αντίστοιχο AS-REQ.
- Αναζητήστε TGTs που έχουν ανόητες τιμές, όπως η προεπιλεγμένη διάρκεια 10 ετών του Mimikatz.
Ένα διαμαντένιο εισιτήριο δημιουργείται με την τροποποίηση των πεδίων ενός νόμιμου TGT που εκδόθηκε από έναν DC. Αυτό επιτυγχάνεται με την αίτηση ενός TGT, την αποκρυπτογράφηση του με το hash krbtgt του τομέα, την τροποποίηση των επιθυμητών πεδίων του εισιτηρίου, και στη συνέχεια την επανακρυπτογράφηση του. Αυτό ξεπερνά τις δύο προαναφερθείσες αδυναμίες ενός χρυσού εισιτηρίου επειδή:
- Τα TGS-REQs θα έχουν ένα προηγούμενο AS-REQ.
- Το TGT εκδόθηκε από έναν DC, που σημαίνει ότι θα έχει όλες τις σωστές λεπτομέρειες από την πολιτική Kerberos του τομέα. Ακόμα και αν αυτά μπορούν να κατασκευαστούν με ακρίβεια σε ένα χρυσό εισιτήριο, είναι πιο περίπλοκο και επιρρεπές σε λάθη.
# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid
.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512
# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.
{% hint style="success" %}
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Υποστήριξη HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.