MS14-068域提權漏洞復現
一、漏洞說明
改漏洞可能允許攻擊者將未經授權的域用戶賬戶的權限,提權到域管理員的權限。
微軟官方解釋: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068
二、漏洞原理
Kerberos認證原理:https://www.cnblogs.com/huamingao/p/7267423.html
服務票據是客戶端直接發送給服務器,並請求服務資源的。如果服務器沒有向域控dc驗證pac的話,那么客戶端可以偽造域管的權限來訪問服務器。
三、漏洞利用前提
1.域控沒有打MS14-068的補丁
2.攻擊者拿下了一台域內的普通計算機,並獲得普通域用戶以及密碼/hash值,以及用戶的suid
四、實驗環境
域控制器(DC) windows 2008 R2 st13.com 192.168.10.146
域內機器 windows 7 192.168.10.129
Ms14-068.exe 下載地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
PSexec下載地址:https://github.com/crupper/Forensics-Tool-Wiki/blob/master/windowsTools/PsExec64.exe
五、漏洞利用
1.首先在域控檢測是否有MS14-068這個漏洞,通過查看是否打補丁(KB3011780)來判斷是否存在漏洞,下圖可以看到沒有打MS14-068漏洞相關的補丁
systeminfo
2.在win7上面測試該漏洞,win7用普通域用戶登錄
測試訪問域控的C盤共享,訪問被拒絕
3.為了使我們生成的票據起作用,首先我們需要將內存中已有的kerberos票據清除,清除方法使用mimikatz
4.使用whoami/all查看本機用戶ID
5. 利用ms14-068.exe提權工具生成偽造的kerberos協議認證證書
MS14-068.exe -u <userName>@<domainName> -p <clearPassword> -s <userSid> -d <domainControlerAddr>
6. 利用mimikatz.exe將證書寫入,從而提升為域管理員
7.再次列出域控制器的C盤目錄,成功訪問域控的C盤,說明普通域用戶提權成功
8.使用PSTools目錄下的PsExec.exe獲取shell,#psexec.exe以管理員權限運行連接域控
9.接下來可以在域控上做任何操作了
總結:
1、查看目標是否存在MS14-068漏洞
2、使用ms14-068.exe生成票據
3、mimikatz注入票據,獲得域控權限
4、PSexec創建后門