MS14-068 漏洞分析—不安全的PAC

最新推荐文章于 2024-03-10 21:41:05 发布
最新推荐文章于 2024-03-10 21:41:05 发布
阅读量1.4k 收藏 3
点赞数 1
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45449318/article/details/128124158
版权

前言

这是一个危害较高的漏洞:只需要一个域内的普通用户的账户密码,便可拿到域控的权限

建议看本文章前,先把之前写的NTLM与kerberos认证体系详解这篇文章看完。

漏洞原因简述

利用伪造的高权限的PAC来获取一个带有高权限PAC的TGT。
(关于pac是什么可以看完上面的那个文章)

在我们的AS_REQ 请求中如果include-pac被置为 true,那么我们的 AS 会在返回的 TGT 中加入 PAC信息,如果我们在 AS_REQ 数据包中,将include-pac被置为 false,那么 AS_REP 返回的 TGT 中就不会包含 PAC
信息。在TGT中没有PAC信息后,我们就可以使用域用户去伪造"恶意"的PAC放入TGS_REQ中,KDC解密PAC后会再次加密到一个新的TGT中并返回给域用户(注意这里KDC返回的是一个TGT并不是一个ticket),此时的TGT中已经携带了“恶意”PAC,也就达到漏洞利用的目的。

详细原因

  1. KDC机构对PAC进行验证时,对于PAC尾部的签名算法,理上规定必须是带有Key的签名算法才可以,但实际上却允许任意签名算法,所以只要我们客户端去随便指定一个方便验证通过的签名算法,那么KDC服务器就会使用我们指定的算法来进行签名验证。比如说我们可以规定使用md5算法,将 md5(内容) 来作为签名,这样当KDC接收以后,发现我们在数据包中规定了使用md5算法,那么KDC就会将我们的内容进行md5后与我们的签名进行比对。如此一来我们可以对内容进行伪装。‘
  2. PAC没有被放在TGT中,而是放在了TGS_REQ数据包的其它地方。但KDC还是能够正确解析出放在其它地方的PAC信息。KDC会使用subkey,将PAC信息解密并利用我们客户端设定的签名算法验证签名
  3. KDC 验证 (缺少 PAC 的 TGT) 与(不在 TGT 中的 PAC) 这两个成功后,那么会去把 PAC 中的 User SID、Group SID 取出来,重新使用进行签名,签名算法和密钥与设置 inclue-pac 标志位为 TRUE 时一模一样。将新产生的 PAC 加入到解密后的 TGT 中,再重新加密制作全新的 TGT 发送给 Client。(注意这里KDC返回的是一个TGT并不是一个ST)

通过以上流程我们成功获得了一个高权限的TGT。

漏洞演示

攻击机:mac

域控:win2008 172.16.84.35

域内普通用户:test/1qaz@WSX

攻击工具: goldenPac
(这个工具最方便,有py与exe两种。是 ms14-068 与 psexec 的结合,可以直接获得一个shell回来)

# goldenPac.py
python3 goldenPac.py walking.com/test:1qaz@WSX@DC.walking.com -dc-ip 172.16.84.35 -target-ip 172.16.84.35 -debug

# goldenPac.exe
goldenPac.exe walking.com/test:1qaz@WSX@DC.walking.com

运行脚本:

在这里插入图片描述

成功获得域控的system权限shell:

在这里插入图片描述

qq_45449318
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
内网渗透(四十)之横向移动篇-ms14-068传递获取域管横向移动
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-18 713
ms14-068漏洞主要通过伪造域管的TGT,将普通用户权限提权为域管权限,以此来控制域控。只要服务器未打ms14-068补丁(KB3011780),在server 2000以上的域控服务器中,都可进行利用这就涉及到了我们之前所讲的PAC这个东西了,我们在关于 Kerberos 认证流程的介绍中提到了 PAC(Privilege Attribute Certificate)这个东西,这是微软为了访问控制而引进的一个扩展,即特权访问证书。
AD域渗透 | MS14068漏洞原理及复现
m0_57221101的博客
04-18 2576
漏洞编号MS14-068漏洞,将允许任意用户提升到域管理员的权限,补丁编号则是KB3011780 原理分析 ​ 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章 ​ 在这PAC权限验证机制产生漏洞的原因是
域内提权之MS14-068
good good study
03-17 4682
目标:普通域成员——>域管理员 漏洞利用前提 域控没有打MS14-068的补丁(KB3011780) 拿下一台加入域的计算机 有这台域内计算机的域用户密码和Sid 漏洞复现 环境: win2012(192.168.10.2) 域控,开启了防火墙 win7(192.168.10.5),域成员 1. win7获取域账户的密码及sid值 win7机器上查看域管理员,可发现,并没有自己 这使用mimikatz去抓取域用户的明文密码 mimikatz.exe "privilege:....
MS14-068(域提权)漏洞复现
weixin_50985113的博客
06-29 741
便用到了我们之前所讲到的 PAC 这个东西,PAC 是用来验证 Client 的访问权限的,它会被TGT 发送给 Client,然后由 Client 发送给 TGS。但也恰恰是这个 PAC 造成了 MS14-068 这个漏洞。该漏洞是位于 kdcsvc.dll 域控制器的密钥分发中心(KDC)服务中的 Windows 漏洞,它允许经过身份验证的用户在其获得的票证 TGT 中插入任意的 PAC。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限。
复现MS14-068
这里是Y.lin的博客,目前是一名网络安全专业的学生,希望和师傅们一起进步吧!
05-23 559
MS14-068
内网渗透---ms14068
yc的博客
05-24 2792
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、MS14-068的利用条件?二、利用步骤1.查看服务器是否打补丁2.获取用户的sid值3.删除系统票据4.生成票据5.导入票据6.提权利用总结 前言 ms14-068漏洞主要通过伪造域管的TGT,将普通用户权限提权为域管权限,以此来控制域控。只要服务器未打ms14-068补丁(KB3011780),在server 2000以上的域控服务器中,都可进行利用。 一、MS14-068的利用条件? 1、获取域普通用户的账号密码.
ms14-068.exe域内神器
11-25
【标题】"ms14-068.exe域内神器" 涉及的主要知识点是Microsoft在2014年发布的安全更新公告MS14-068,它与Windows操作系统中的Kerberos认证漏洞有关。这个漏洞允许攻击者通过精心构造的请求,绕过域控制器的安全验证...
pykek-ms14-068.zip
01-06
"pykek"可能是这个事件或漏洞的代号,而"ms14-068"是微软在2014年发布的一个安全公告编号。微软通常使用这种格式(MSYY-NNN)来标识其安全更新,其中“YY”代表年份,“NNN”是更新的顺序号。因此,"ms14-068"指的是...
ms14-068利用工具包.zip
07-01
【标题】"ms14-068利用工具包.zip" 涉及的主要知识点是针对微软在2014年发布的安全公告MS14-068漏洞利用工具。这个工具包包含了两个可执行文件(MS14-068.exe)以及一个名为“minikataz”的64位程序,这可能是一个...
window2008R2 X64 .NET Framework 3.5.1 Padding Oracle MS10-070漏洞
06-07
用于修复 window2008R2 X64 .NET Framework 3.5.1 ASP.NET Padding Oracle 漏洞(MS10-070)
MS14-068AD域提权神器
05-24
本地WINDOWS: 1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位域用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号SID dc-a-2003.dom-a.local域这机全名 可以通过:1)wmic useraccount where name=”USERNAME” get sid 2)whoami /all 本机可以直接查出自己的SID; 用法国神器破解,需要时最新版本的才支持, 2.mimikatz.exe log "kerberos::ptc TGT_user-a-1@dom-a.loc.ccache" exit TGT_user-a-1@dom-a.loc.ccache指的是第一步所生成的ccache文件。 3. kerberos::ptc TGT_secpulse@secpulse.local.ccache 4.查看: klist net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败 dir \\DC2.secpulse.local\c$ 看看有木有权限 好运~
Get-MS14-068:快速简单的Powershell脚本来扫描事件日志,以了解MS14-068开发的可能指标
05-16
【标题】"Get-MS14-068"是一个基于Powershell的脚本,设计用于快速扫描系统事件日志,以检测是否存在与MS14-068安全漏洞相关的活动。MS14-068是微软发布的一个关键安全更新,涉及到SMB(Server Message Block)服务...
MS14-068 (CVE-2014-6324)域用户提权漏洞
做自己喜欢的事,并将其发挥到极致!
03-15 7304
文章目录声明一、漏洞简介二、漏洞原理三、实验环境四、漏洞利用利用思路前提条件方法一方法二方法三方法四五、参考文章 声明 本篇文章仅用于技术研究,切勿用于非法用途,仅供参考! 一、漏洞简介 远程权限提升漏洞存在于 Microsoft Windows 的 Kerberos KDC 实现中。存在该漏洞的情况为无法正确验证签名,这可能造成 Kerberos 服务票证的某些方面被人伪造。简单来说就是一个域内的普通账户可以利用此漏洞进行权限提升,升级为域管理员权限。 二、漏洞原理 Kerberos认证原理:http
MS14-068域渗透
最新发布
bailandawang123的博客
03-10 435
ms14068主要是通过伪造域管的tgt,将普通用户提升为域管用户,从而控制域控。
MS14-068漏洞复现】
一纸荒芜的博客
08-26 3226
ms14-068漏洞复现
kerberos-MS14-068(kerberos域用户提权)
Ms08067安全实验室
11-20 230
点击星标,即时接收最新推文微软官方在2014年11月18日发布了一个紧急补丁,Windows全版本服务器系统受到影响,包括Windows Server 2003,Windows Server 2008,Windows Server 2008 R2,Windows Server 2012和Windows Server 2012 R2,修复了Microsoft Windows Kerberos KDC...
MS14-068提权漏洞解析
weixin_43733912的博客
09-17 2719
@一、漏洞说明 欢迎使用Markdown编辑器 该漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。 微软官方解释: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markd
内网渗透之——域渗透中利用ms-14-068漏洞进行票据伪装获取域管账号密码
wsnbbz的博客
03-31 2518
条件 知道域名,sid,并拥有一个域普通用户的账号密码和并知道域控的名称 域名获取: ipconfig /all sid获取: whoami /all 查询域控: net time /domain 利用过程 1.利用该漏洞伪装票据 2.导出域hash 3.破解文件 利用该漏洞伪装票据 1.拿到一台普通域用户机器,获取sid 2.域名,域控名获取 (...
MS14-068漏洞复现
qq_56426046的博客
11-11 2979
(身份认证票据) 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。这利用 MS14-068 来提权,先检查下是否有 MS14-068, CVE 编号CVE-2014-6324, 补丁为 3011780 : systeminfo |find "3011780",如果返回为空就说明没有打补丁,存在漏洞,需要注意的是域内普通用户提权成功后是有时效性的。也就是说,你在一台普通域用户的机器上利用这个漏洞,那么这个域用户就变成域管理员权限,然后该域用户就可以控制整个域的所有机器了。
ms14-068漏洞实验
06-01
ms14-068 漏洞实验是一个模拟漏洞攻击的实验,旨在帮助安全研究人员、渗透测试人员和网络管理员更好地了解和防范该漏洞。该漏洞最初被发现于2014年,影响到了微软的 Windows 域控制器。攻击者可以利用该漏洞来提升其在网络中的权限,包括在域控制器上创建、修改和删除帐户。这是一种非常危险的漏洞,因此对其进行实验和研究是非常重要的。 通过进行 ms14-068 漏洞实验,您可以模拟攻击者如何利用该漏洞来进行攻击,并学习如何防范这种攻击。在实验中,您将使用一些工具和技术,如 Metasploit,来模拟攻击和测试防御措施。在完成实验后,您将能够更好地了解该漏洞的工作原理,如何检测该漏洞以及如何防御该漏洞。 总之,ms14-068 漏洞实验是一种非常有用的方式,可以帮助您提高网络安全意识和技能,保护您的网络免受攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值