AD域渗透 | MS14068漏洞原理及复现

最新推荐文章于 2024-04-09 05:29:57 发布
最新推荐文章于 2024-04-09 05:29:57 发布
阅读量2.5k 收藏 4
点赞数 1
分类专栏: AD域 文章标签: shell 渗透测试 linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57221101/article/details/124206152
版权
漏洞编号MS14-068的漏洞,将允许任意用户提升到域管理员的权限,补丁编号则是KB3011780原理分析​ 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC的分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章​ 在这里PAC权限验证机制产生漏洞的原因是
摘要由CSDN通过智能技术生成

漏洞编号MS14-068的漏洞,将允许任意用户提升到域管理员的权限,补丁编号则是KB3011780

原理分析

​ 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC的分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章

​ 在这里PAC权限验证机制产生漏洞的原因是,微软在设计PAC的时候规定了加密方式,但又允许了用户自定义加密方式,进而导致了用户可以伪造PAC;但是又由于PAC是放在TGT里面的,所以我们直接将PAC和密匙放在和TGT同结构体的aythenticator内容下。从而使KDC识别到PAC。

(名词解释,TGS其实是KDC下的一个模块,但由于TGS发回的票据没有像TGT一样的具体名称,大家就喜欢把他叫TGS,我在这里为方便区分,叫他ST(server ticket))

​ 总结原理

​ 1.向KDC下的AS发送一个不带PAC的AS_REQ

​ 2.AS返回你一个不带PAC的TGT

​ 3.制作一个管理员组权限的PAC,和TGT一起装在TGS_REQ中发给KDC下的TGS

​ 4.TGS误识别了你伪造的信息,并发给你发给你一个管理员权限的包含PAC的ST

​ 5.server拿到了ST,拆开ST,把其中的PAC发给TGS,TGS验证了权限之后,server向你提供管理员级别的服务

利用过程

pykek

全称是

最低0.47元/天 解锁文章
彤彤学安全
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mimikatz,ms14068
04-02
mimikatz mimikatz is a tool I've made to learn C and make somes experiments with Windows security. It's now well known to extract plaintexts passwords, hash, PIN code and kerberos tickets from memory. mimikatz can also perform pass-the-hash, pass-the-ticket or build Golden tickets. .#####. mimikatz 2.0 alpha (x86) release "Kiwi en C" (Apr 6 2014 22:02:03) .## ^ ##. ## / \ ## /* * * ## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) '## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo) '#####' with 13 modules * * */ mimikatz # privilege::debug Privilege '20' OK mimikatz # sekurlsa::logonpasswords Authentication Id : 0 ; 515764 (00000000:0007deb4) Session : Interactive from 2 User Name : Gentil Kiwi Domain : vm-w7-ult-x SID : S-1-5-21-1982681256-1210654043-1600862990-1000 msv : [00000003] Primary * Username : Gentil Kiwi * Domain : vm-w7-ult-x * LM : d0e9aee149655a6075e4540af1f22d3b * NTLM : cc36cf7a8514893efccd332446158b1a * SHA1 : a299912f3dc7cf0023aef8e4361abfc03e9a8c30 tspkg : * Username : Gentil Kiwi * Domain : vm-w7-ult-x * Password : waza1234/ ... But that's not all! Crypto, Terminal Server, Events, ... lots of informations in the GitHub Wiki https://github.com/gentilkiwi/mimikatz/wiki or on http://blog.gentilkiwi.com (in French, yes). If you don't want to build it, binaries are availables on https://github.com/gentilkiwi/mimikatz/releases Quick usage log privilege::debug sekurlsa sekurlsa::logonpasswords sekurlsa::tickets /export sekurlsa::pth /user:Administrateur /domain:winxp /ntlm:f193d757b4d487ab7e5a3743f038f713 /run:cmd kerberos kerberos::list /export kerberos::ptt c:\chocolate.kirbi kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi crypto crypto::capi crypto::cng crypto::certificates /export crypto::certificates /export /systemstore:CERT_SYSTEM_STORE_LOCAL_MACHINE crypto::keys /export crypto::keys /machine /export vault & lsadump vault::cred vault::list token::elevate vault::cred vault::list lsadump::sam lsadump::secrets lsadump::cache token::revert lsadump::dcsync /user:domain\krbtgt /domain:lab.local Build mimikatz is in the form of a Visual Studio Solution and a WinDDK driver (optional for main operations), so prerequisites are: - for mimikatz and mimilib : Visual Studio 2010, 2012 or 2013 for Desktop (2013 Express for Desktop is free and supports x86 & x64 - http://www.microsoft.com/download/details.aspx?id=44914) - for mimikatz driver, mimilove (and ddk2003 platform) : Windows Driver Kit 7.1 (WinDDK) - http://www.microsoft.com/download/details.aspx?id=11800 mimikatz uses SVN for source control, but is now available with GIT too! You can use any tools you want to sync, even incorporated GIT in Visual Studio 2013 =) Synchronize! - GIT URL is : https://github.com/gentilkiwi/mimikatz.git - SVN URL is : https://github.com/gentilkiwi/mimikatz/trunk - ZIP file is : https://github.com/gentilkiwi/mimikatz/archive/master.zip Build the solution - After opening the solution, Build / Build Solution (you can change architecture) - mimikatz is now built and ready to be used! (Win32 / x64) - you can have error MSB3073 about _build_.cmd and mimidrv, it's because the driver cannot be build without Windows Driver Kit 7.1 (WinDDK), but mimikatz and mimilib are OK. ddk2003 With this optional MSBuild platform, you can use the WinDDK build tools, and the default msvcrt runtime (smaller binaries, no dependencies) For this optional platform, Windows Driver Kit 7.1 (WinDDK) - http://www.microsoft.com/download/details.aspx?id=11800 and Visual Studio 2010 are mandatory, even if you plan to use Visual Studio 2012 or 2013 after. Follow instructions: - http://blog.gentilkiwi.com/programmation/executables-runtime-defaut-systeme - http://blog.gentilkiwi.com/cryptographie/api-systemfunction-windows#winheader Licence CC BY 4.0 licence - https://creativecommons.org/licenses/by/4.0/ Author - Benjamin DELPY gentilkiwi, you can contact me on Twitter ( @gentilkiwi ) or by mail ( benjamin [at] gentilkiwi.com ) - DCSync function in lsadump module was co-writed with Vincent LE TOUX, you contact him by mail ( vincent.letoux [at] gmail.com ) or visit his website ( http://www.mysmartlogon.com ) This is a personal development, please respect its philosophy and don't use it for bad things!
AD渗透链和工具推荐
最新发布
06-05
AD渗透链和工具
MS14-068漏洞复现
网络安全。
02-01 5152
0x01 简介 MS14-068漏洞可将普通用户权限提升为管理员用户,这个漏洞实战是碰到的可能性非常小了,但是如此经典的漏洞,不去玩一下,真的很不爽,于是搭建环境,复现一波。 0x02 漏洞复现 方法1:MS14-068工具利用 (https://github.com/ianxtianxt/MS14-068) 最开始想用一台win 2003作为内机器攻击控,可工具在03上各种问题,于是换了...
内网渗透小结,Linux运维开发入门基础教程
m0_60635176的博客
04-09 715
为了做好运维面试路上的助攻手,特整理了上百道。
内网渗透---ms14068
yc的博客
05-24 2777
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、MS14-068的利用条件?二、利用步骤1.查看服务器是否打补丁2.获取用户的sid值3.删除系统票据4.生成票据5.导入票据6.提权利用总结 前言 ms14-068漏洞主要通过伪造管的TGT,将普通用户权限提权为管权限,以此来控制控。只要服务器未打ms14-068补丁(KB3011780),在server 2000以上的控服务器中,都可进行利用。 一、MS14-068的利用条件? 1、获取普通用户的账号密码.
渗透☀️MS14-068☀️漏洞复现
君莫hacker的博客
09-11 891
目录0x01 漏洞介绍0x02 环境准备0x03 漏洞复现1. 查看当前用户是否为用户2. 获取控信息3. 查看目前权限4. “MS14-068” 工具生成票据5. 打开mimikatz,注入票据6. 验证权限是否提升7. 使用PsExec.exe获取一个交互式shell8. 创建用户,并添加至管理员组 0x01 漏洞介绍 漏洞概述: 该漏洞允许黑客提升任意普通用户权限成为管理员(Domain Admin)身份。 漏洞编号 CVE-2014-6324 受影响版本 全部版本Windows服务器
ms14-068漏洞复现
whojoe的博客
04-12 943
ms14-068漏洞复现 MS14-068提权漏洞复现 一、漏洞说明 ​ 改漏洞可能允许攻击者将未经授权的用户账户的权限,提权到管理员的权限。 ​ 微软官方解释: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068 二、漏洞原理 ​ Kerberos认...
红队|渗透重要漏洞总结
渗透测试研究中心
11-24 1283
1.MS14-068kerberos认证,no PAC用户在向 Kerberos 密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的 Kerberos 票据漏洞效果:将任意用户提升到管权限利用条件:1.小于2012R2的控 没有打MS14-068的补丁(KB3011780)2.拿下一台加入的计算机3.有这台内计算机的用户密码和Sid利用方式:在《Ker...
高性能VGA芯片AD8367原理及应用
12-13
文中介绍了AD8367的特点、工作原理及使用注意事项,并在此基础上给出了几种典型应用电路。 关键词:VGA;AGC ;AD8367 1 主要特点 AD8367是AD公司推出的一款可变增益单端IF放大器,它使用AD公司先进的...
DDS芯片AD9832的原理及应用
11-18
文章介绍了直接数字频率合成器(DDS)AD9832的原理,分析了AAD9832的内部结构、引脚功能以及在高频测试仪中的应用。  直接数字频率合成是一种新的频率合成技术和信号产生方法。直接数字频率合成器...
AD9958的结构、功能、工作原理及应用
01-20
本文将介绍了AD9958的基本特点和引脚功能,分析了其内部结构和工作原理,给出了AD9958在PLL及数字调制系统中的应用方案。AD9958是Analog Devices公司生产的一款高性能、动态特性优异、可双路输出的DDS器件,每路可...
MS08-066溢出程序
10-17
最新的MS08-066提权工具... MS08-066:Microsoft辅助驱动程序中秘密报告漏洞 可以把guest权限提为system权限...
低失真有源混频器AD831的工作原理及应用
01-19
文中介绍了AD831的工作原理、内部电路、引脚排列及功能说明,给出了AD831在频踪式雷达本振中的应用电路。  关键词:混频器 射频 本振 中频 AD831 混频器在广播、通信、电视等外差式设备及频率合成设备中具有广泛...
复现MS14-068
这里是Y.lin的博客,目前是一名网络安全专业的学生,希望和师傅们一起进步吧!
05-23 530
MS14-068
【MS14-068漏洞复现
一纸荒芜的博客
08-26 3213
ms14-068漏洞复现
MS14-068复现
https://www.cnblogs.com/zpchcbd/
09-15 698
kerberos认证流程非常的重要 1、生成TGT: net config workstation ms14-068.exe -u yuyonghu01@top.pentest.top -s S-1-5-21-2174377853-1962599352-171107088-1128 -d top.pentest.top 生成的票据: 2、注入TGT: 1)先查看自己的klist 如...
MS14-068渗透
bailandawang123的博客
03-10 426
ms14068主要是通过伪造管的tgt,将普通用户提升为管用户,从而控制控。
内提权之MS14-068
good good study
03-17 4680
目标:普通成员——>管理员 漏洞利用前提 控没有打MS14-068的补丁(KB3011780) 拿下一台加入的计算机 有这台内计算机的用户密码和Sid 漏洞复现 环境: win2012(192.168.10.2) 控,开启了防火墙 win7(192.168.10.5),成员 1. win7获取账户的密码及sid值 win7机器上查看管理员,可发现,并没有自己 这里使用mimikatz去抓取用户的明文密码 mimikatz.exe "privilege:....
Windows Server AD 和 O365 高级渗透测试.pdf
10-06
"《Windows Server AD 和 O365 高级渗透测试:深入探究与实用指南》" 本文档旨在对Windows Server环境下的Active Directory(AD)以及Office 365进行高级渗透测试,提供详细的理论背景和参考材料。作者Joas Antonio...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值