hacktricks/windows-hardening/active-directory-methodology/diamond-ticket.md

Ticket Diamond

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !

• Découvrez The PEASS Family, notre collection exclusive de NFTs

• Obtenez le swag officiel PEASS & HackTricks

• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.

• Partagez vos astuces de piratage en soumettant des PR au dépôt hacktricks et au dépôt hacktricks-cloud.

Ticket Diamond

Comme un ticket d'or, un ticket diamond est un TGT qui peut être utilisé pour accéder à n'importe quel service en tant que n'importe quel utilisateur. Un ticket d'or est forgé complètement hors ligne, crypté avec le hachage krbtgt de ce domaine, puis passé dans une session de connexion pour être utilisé. Étant donné que les contrôleurs de domaine ne suivent pas les TGT qu'ils ont émis légitimement, ils accepteront volontiers les TGT qui sont cryptés avec leur propre hachage krbtgt.

Il existe deux techniques courantes pour détecter l'utilisation de tickets d'or :

• Recherchez les TGS-REQ qui n'ont pas de AS-REQ correspondant.
• Recherchez les TGT qui ont des valeurs ridicules, telles que la durée de vie par défaut de 10 ans de Mimikatz.

Un ticket diamond est créé en modifiant les champs d'un TGT légitime qui a été émis par un DC. Cela est réalisé en demandant un TGT, en le décryptant avec le hachage krbtgt du domaine, en modifiant les champs souhaités du ticket, puis en le re-chiffrant. Cela surmonte les deux lacunes mentionnées ci-dessus d'un ticket d'or car :

• Les TGS-REQ auront un AS-REQ précédent.
• Le TGT a été émis par un DC, ce qui signifie qu'il aura tous les détails corrects de la politique Kerberos du domaine. Bien que ceux-ci puissent être forgés avec précision dans un ticket d'or, c'est plus complexe et ouvert aux erreurs.

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash. 

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !

• Découvrez The PEASS Family, notre collection exclusive de NFTs

• Obtenez le swag officiel PEASS & HackTricks

• Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.

• Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.