点击星标,即时接收最新推文
微软官方在2014年11月18日发布了一个紧急补丁,Windows全版本服务器系统受到影响,包括Windows Server 2003,Windows Server 2008,Windows Server 2008 R2,Windows Server 2012和Windows Server 2012 R2,修复了Microsoft Windows Kerberos KDC(CVE-2014-6324),该漏洞可导致活动目录整体权限控制受到影响,漏洞允许黑客将域内任意用户权限提升至域管理级别。通俗来讲,就是恶意攻击者获取域内任何一台计算机shell权限,同时还知道任意一名域用户用户名、sid、密码,即可拿下域管理员进而拿下域控制器,最后拿下整个域权限。
导致这个漏洞产生的原因就是在用户向KDC(Kerberos密钥分发中心)申请TGT(由票据授权服务产生的用来证明身份的凭证)时,可以伪造自己的Kerberos Ticket(Kerberos票据),该Ticket声明自己是域管理员,而KDC在处理该Ticket时未正确验证Ticket的签名,所以返回给用户的TGT使普通域用户拥有了域管理员权限,该用户可以将TGT发送到KDC,KDC中TGS(票据授权服务)在验证TGT后,将Service Ticket(服务票据)发送给该用户,该用户拥有访问该服务的权限。使攻击者可以访问域内资源。
利用Kerberos提权的常用方法介绍
1、使用Pykek工具包配合mimikatz进行测试;
2、使用impacket工具包中goldenPac.py进行测试。
3、使用metasploit进行测试。
4、修复方案
我们常用的方法为第一种,好处是在于pykek只需要系统存在python2.7环境即可,还可以将python文件转换为exe,在免python环境下也可以执行。第二种方法的好处是可以直接得到交互shell,操作简单便捷,适合新手。但该工具是通过psexec的方式获得shell,该方法会产生大量日志,再之psexec已经被较多反病毒厂商列为危险文件,免杀效果较差。第三种方法好处是在metasploit下进行操作,metasploit是一款较为成熟的后渗透框架,其中包含大量exp,可以更快的进行渗透测试工作,坏处是操作步骤较多,较为复杂,不适合新手操作。
测试环境如下:
域:pentest.com
域账号:user1/Aa123456@
域sid:S-1-5-21-3112629480-1751665795-4053538595-1104
域控:WIN-2K5J2NT2O7P.pentest.com
Kali:172.16.86.131
域机器:172.16.86.129
Pykek工具包
Pykek是利用Kerberos协议进行攻击的工具包,Pykek可以生成一张高权限的服务票据,再使用mimikatz(法国人开发的轻量级调试器)将服务票据注入到内存。
Pykek(Python Kerberos Exploitation Kit),其下载地址为
https://github.com/mubix/pykek,
如图6-47所示。
图6-47脚本下载页面
(1)工具说明
ms14-068.py为Pykek工具包中利用脚本,如图6-48所示