Diamond Ticket

Cómo con el Golden Ticket,un Diamond Ticket es un TGT que puede utilizarse para acceder a cualquier servicio como cualquier usuario. El golden ticket se falsifica de manera totalmente offline, encriptado con el hash de krbtgt de ese dominio, y después se pasa a una sesión de inicio de sesión para utilizarlo. Debido a que los DC no rastrean los TGT que ellos han emitido, aceptarán con gusto los TGT que estén cifrados con su propio hash krbtgt.

Hay 2 maneras de detectar un golden ticket:

Buscar por TGS-REQs que no tienen su correspondiente AS-REQ.
Buscar por TGTs que tienen valores absurdos, cómo la vida útil por defecto de mimikatz de 10 años.

Entonces, un diamond ticket se realizada modificando los campos de un TGT legitimo que ha sido emitido por el DC. Esto se realiza emitiendo una request a TGT, descifrando-lo con el hash del dominio de krbtgt, modificando los campos deseados del ticket y volviéndolo a encriptar. Esto supera las dos deficiencias antes mencionadas del golden ticket porque:

Los TGS-REQ tendrán un AS-REQ anterior.
El TGT fue emitido por un DC, lo que significa que tendrá todos los detalles correctos de la política Kerberos del dominio. Aunque estos pueden falsificarse con precisión en un golden ticket, es más complejo y abierto a errores.

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

Referencia

PreviousGolden Ticket NextDLL SFC File attack

Last updated 10 months ago