AD域渗透 | MS14068漏洞原理及复现

最新推荐文章于 2024-03-10 21:41:05 发布
最新推荐文章于 2024-03-10 21:41:05 发布
阅读量2.6k 收藏 4
点赞数 1
分类专栏: AD域 文章标签: shell 渗透测试 linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57221101/article/details/124206152
版权
本文详细介绍了MS14-068漏洞的原理,该漏洞允许非管理员提升至域管理员权限。通过分析PAC权限验证机制的漏洞,阐述了利用过程,包括使用pykek、impacket工具包和MSF进行渗透测试的步骤。同时,文中还提及了如何配置代理路由以进行内网渗透。
摘要由CSDN通过智能技术生成

漏洞编号MS14-068的漏洞,将允许任意用户提升到域管理员的权限,补丁编号则是KB3011780

原理分析

​ 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC的分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章

​ 在这里PAC权限验证机制产生漏洞的原因是,微软在设计PAC的时候规定了加密方式,但又允许了用户自定义加密方式,进而导致了用户可以伪造PAC;但是又由于PAC是放在TGT里面的,所以我们直接将PAC和密匙放在和TGT同结构体的aythenticator内容下。从而使KDC识别到PAC。

(名词解释,TGS其实是KDC下的一个模块,但由于TGS发回的票据没有像TGT一样的具体名称,大家就喜欢把他叫TGS,我在这里为方便区分,叫他ST(server ticket))

​ 总结原理

​ 1.向KDC下的AS发送一个不带PAC的AS_REQ

​ 2.AS返回你一个不带PAC的TGT

​ 3.制作一个管理员组权限的PAC,和TGT一起装在TGS_REQ中发给KDC下的TGS

​ 4.TGS误识别了你伪造的信息,并发给你发给你一个管理员权限的包含PAC的ST

​ 5.server拿到了ST,拆开ST,把其中的PAC发给TGS,TGS验证了权限之后,server向你提供管理员级别的服务

利用过程

pykek

全称是

最低0.47元/天 解锁文章
彤彤学安全
关注
专栏目录
MS14-068 (CVE-2014-6324)用户提权漏洞
做自己喜欢的事,并将其发挥到极致!
03-15 7620
文章目录声明一、漏洞简介二、漏洞原理三、实验环境四、漏洞利用利用思路前提条件方法一方法二方法三方法四五、参考文章 声明 本篇文章仅用于技术研究,切勿用于非法用途,仅供参考! 一、漏洞简介 远程权限提升漏洞存在于 Microsoft Windows 的 Kerberos KDC 实现中。存在该漏洞的情况为无法正确验证签名,这可能造成 Kerberos 服务票证的某些方面被人伪造。简单来说就是一个内的普通账户可以利用此漏洞进行权限提升,升级为管理员权限。 二、漏洞原理 Kerberos认证原理:http
漏洞复现】海康威视 综合安防管理平台 keepAlive接口 远程代码执行漏洞
最新发布
alert['Hello World']
06-23 1367
海康综合安防管理平台 keepAlive 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下,对目标服务器进行远程命令执行,从而获取服务器权限。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。
mimikatz,ms14068
04-02
mimikatz mimikatz is a tool I've made to learn C and make somes experiments with Windows security. It's now well known to extract plaintexts passwords, hash, PIN code and kerberos tickets from memory. mimikatz can also perform pass-the-hash, pass-the-ticket or build Golden tickets. .#####. mimikatz 2.0 alpha (x86) release "Kiwi en C" (Apr 6 2014 22:02:03) .## ^ ##. ## / \ ## /* * * ## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) '## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo) '#####' with 13 modules * * */ mimikatz # privilege::debug Privilege '20' OK mimikatz # sekurlsa::logonpasswords Authentication Id : 0 ; 515764 (00000000:0007deb4) Session : Interactive from 2 User Name : Gentil Kiwi Domain : vm-w7-ult-x SID : S-1-5-21-1982681256-1210654043-1600862990-1000 msv : [00000003] Primary * Username : Gentil Kiwi * Domain : vm-w7-ult-x * LM : d0e9aee149655a6075e4540af1f22d3b * NTLM : cc36cf7a8514893efccd332446158b1a * SHA1 : a299912f3dc7cf0023aef8e4361abfc03e9a8c30 tspkg : * Username : Gentil Kiwi * Domain : vm-w7-ult-x * Password : waza1234/ ... But that's not all! Crypto, Terminal Server, Events, ... lots of informations in the GitHub Wiki https://github.com/gentilkiwi/mimikatz/wiki or on http://blog.gentilkiwi.com (in French, yes). If you don't want to build it, binaries are availables on https://github.com/gentilkiwi/mimikatz/releases Quick usage log privilege::debug sekurlsa sekurlsa::logonpasswords sekurlsa::tickets /export sekurlsa::pth /user:Administrateur /domain:winxp /ntlm:f193d757b4d487ab7e5a3743f038f713 /run:cmd kerberos kerberos::list /export kerberos::ptt c:\chocolate.kirbi kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi crypto crypto::capi crypto::cng crypto::certificates /export crypto::certificates /export /systemstore:CERT_SYSTEM_STORE_LOCAL_MACHINE crypto::keys /export crypto::keys /machine /export vault & lsadump vault::cred vault::list token::elevate vault::cred vault::list lsadump::sam lsadump::secrets lsadump::cache token::revert lsadump::dcsync /user:domain\krbtgt /domain:lab.local Build mimikatz is in the form of a Visual Studio Solution and a WinDDK driver (optional for main operations), so prerequisites are: - for mimikatz and mimilib : Visual Studio 2010, 2012 or 2013 for Desktop (2013 Express for Desktop is free and supports x86 & x64 - http://www.microsoft.com/download/details.aspx?id=44914) - for mimikatz driver, mimilove (and ddk2003 platform) : Windows Driver Kit 7.1 (WinDDK) - http://www.microsoft.com/download/details.aspx?id=11800 mimikatz uses SVN for source control, but is now available with GIT too! You can use any tools you want to sync, even incorporated GIT in Visual Studio 2013 =) Synchronize! - GIT URL is : https://github.com/gentilkiwi/mimikatz.git - SVN URL is : https://github.com/gentilkiwi/mimikatz/trunk - ZIP file is : https://github.com/gentilkiwi/mimikatz/archive/master.zip Build the solution - After opening the solution, Build / Build Solution (you can change architecture) - mimikatz is now built and ready to be used! (Win32 / x64) - you can have error MSB3073 about _build_.cmd and mimidrv, it's because the driver cannot be build without Windows Driver Kit 7.1 (WinDDK), but mimikatz and mimilib are OK. ddk2003 With this optional MSBuild platform, you can use the WinDDK build tools, and the default msvcrt runtime (smaller binaries, no dependencies) For this optional platform, Windows Driver Kit 7.1 (WinDDK) - http://www.microsoft.com/download/details.aspx?id=11800 and Visual Studio 2010 are mandatory, even if you plan to use Visual Studio 2012 or 2013 after. Follow instructions: - http://blog.gentilkiwi.com/programmation/executables-runtime-defaut-systeme - http://blog.gentilkiwi.com/cryptographie/api-systemfunction-windows#winheader Licence CC BY 4.0 licence - https://creativecommons.org/licenses/by/4.0/ Author - Benjamin DELPY gentilkiwi, you can contact me on Twitter ( @gentilkiwi ) or by mail ( benjamin [at] gentilkiwi.com ) - DCSync function in lsadump module was co-writed with Vincent LE TOUX, you contact him by mail ( vincent.letoux [at] gmail.com ) or visit his website ( http://www.mysmartlogon.com ) This is a personal development, please respect its philosophy and don't use it for bad things!
内网渗透---ms14068
yc的博客
05-24 2966
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、MS14-068的利用条件?二、利用步骤1.查看服务器是否打补丁2.获取用户的sid值3.删除系统票据4.生成票据5.导入票据6.提权利用总结 前言 ms14-068漏洞主要通过伪造管的TGT,将普通用户权限提权为管权限,以此来控制控。只要服务器未打ms14-068补丁(KB3011780),在server 2000以上的控服务器中,都可进行利用。 一、MS14-068的利用条件? 1、获取普通用户的账号密码.
渗透☀️MS14-068☀️漏洞复现
君莫hacker的博客
09-11 1124
目录0x01 漏洞介绍0x02 环境准备0x03 漏洞复现1. 查看当前用户是否为用户2. 获取控信息3. 查看目前权限4. “MS14-068” 工具生成票据5. 打开mimikatz,注入票据6. 验证权限是否提升7. 使用PsExec.exe获取一个交互式shell8. 创建用户,并添加至管理员组 0x01 漏洞介绍 漏洞概述: 该漏洞允许黑客提升任意普通用户权限成为管理员(Domain Admin)身份。 漏洞编号 CVE-2014-6324 受影响版本 全部版本Windows服务器
ms14-068漏洞复现
whojoe的博客
04-12 986
ms14-068漏洞复现 MS14-068提权漏洞复现 一、漏洞说明 ​ 改漏洞可能允许攻击者将未经授权的用户账户的权限,提权到管理员的权限。 ​ 微软官方解释: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068 二、漏洞原理 ​ Kerberos认...
红队|渗透重要漏洞总结
渗透测试研究中心
11-24 1386
1.MS14-068kerberos认证,no PAC用户在向 Kerberos 密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的 Kerberos 票据漏洞效果:将任意用户提升到管权限利用条件:1.小于2012R2的控 没有打MS14-068的补丁(KB3011780)2.拿下一台加入的计算机3.有这台内计算机的用户密码和Sid利用方式:在《Ker...
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
MS17-010永恒之蓝漏洞利用,win32安装,windows 7 32位
热门推荐
linxaiomo
02-20 1万+
漏洞复现:MS17-010 漏洞利用的条件:1.靶机开启445端口(如果未打开该端口将会攻击失败,百度打开445端口) 2.关闭防火墙 靶机:windows 7(未知X32位还是X64位) ip:192.168.1.9 攻击机:kali linux (X64) ip:192.168.1.101 使用工具:meatsploit,nmap 前期准备工作:由于kali是64位,如果windows 7 是32 位,所以我们得安装wine3...
MS14-068漏洞复现
网络安全。
02-01 5209
0x01 简介 MS14-068漏洞可将普通用户权限提升为管理员用户,这个漏洞实战是碰到的可能性非常小了,但是如此经典的漏洞,不去玩一下,真的很不爽,于是搭建环境,复现一波。 0x02 漏洞复现 方法1:MS14-068工具利用 (https://github.com/ianxtianxt/MS14-068) 最开始想用一台win 2003作为内机器攻击控,可工具在03上各种问题,于是换了...
MS08-066溢出程序
10-17
最新的MS08-066提权工具... MS08-066:Microsoft辅助驱动程序中秘密报告漏洞 可以把guest权限提为system权限...
复现MS14-068
这里是Y.lin的博客,你好,很高兴云里相遇!希望能给你提供一点帮助
05-23 864
MS14-068
【MS14-068漏洞复现
一纸荒芜的博客
08-26 3425
ms14-068漏洞复现
MS14-068复现
https://www.cnblogs.com/zpchcbd/
09-15 726
kerberos认证流程非常的重要 1、生成TGT: net config workstation ms14-068.exe -u yuyonghu01@top.pentest.top -s S-1-5-21-2174377853-1962599352-171107088-1128 -d top.pentest.top 生成的票据: 2、注入TGT: 1)先查看自己的klist 如...
MS14-068渗透
bailandawang123的博客
03-10 524
ms14068主要是通过伪造管的tgt,将普通用户提升为管用户,从而控制控。
ms14-068的深入分析
zz_strive_2012的专栏
06-17 5183
0×0 背景 初次认识该漏洞是在FreeBuf上对该漏洞的预警《漏洞预警:系统权限提升漏洞(CVE-2014-6324)影响全版本Windows服务器》: 微软今天(2014-11-18)发布了一个紧急补丁,修复了一个影响全部版本Windows服务器的严重漏洞。今天发布的MS14-068漏洞补丁用于解决Microsoft Windows Kerberos KDC漏洞(CVE-2014-
内提权之MS14-068
内心不种满鲜花就会长满杂草
03-17 4856
目标:普通成员——>管理员 漏洞利用前提 控没有打MS14-068的补丁(KB3011780) 拿下一台加入的计算机 有这台内计算机的用户密码和Sid 漏洞复现 环境: win2012(192.168.10.2) 控,开启了防火墙 win7(192.168.10.5),成员 1. win7获取账户的密码及sid值 win7机器上查看管理员,可发现,并没有自己 这里使用mimikatz去抓取用户的明文密码 mimikatz.exe "privilege:....
【权限提升】windows平台-提权项目&MSF&CS&溢出漏洞
今天是几号的博客
02-04 2625
简介:WES-NG是一个基于Windows系统信息实用程序输出的工具,该实用程序提供了操作系统易受攻击的漏洞列表,包括对这些漏洞的任何利用。powershell运行(上传是为了收集系统打的补丁信息,作用等同于systeminfo,当无法上传文件时,可以用systeminfo中的信息覆盖KB.json文件)简介:这是一款基于主机的漏洞扫描工具,采用多线程确保可以快速的请求数据,采用线程锁可以在向sqlite数据库中写入数据避免。覆盖项目KB.json文件(一定格式的操作系统信息 补丁信息等)
AD详解:为何及工作原理示例
在IT领中,Active Directory (AD) 环境配置是一项至关重要的任务,尤其对于企业的统一资源管理系统至关重要。AD是一种由Microsoft设计的集中式管理模型,用于组织和控制网络中的资源,如用户账户、计算机、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值