MS14-068的复现
MS14-068漏洞
1.漏洞说明
MS14-068漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。
微软官方解释: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068
2.漏洞原理
Kerberos认证原理:https://www.cnblogs.com/huamingao/p/7267423.html
服务票据是客户端直接发送给服务器,并请求服务资源的。如果服务器没有向域控dc验证pac的话,那么客户端可以伪造域管的权限来访问服务器。
3.漏洞利用前提
-
1.域控没有打MS14-068的补丁
-
2.攻击者拿下了一台域内的普通计算机,并获得普通域用户以及密码/hash值,以及用户的suid
4.实验环境
| 域控制器(DC) windows 2008 R2 | admin.pilin.com | 192.168.203.159 | ||
|---|---|---|---|---|
| 域内机器 windows 7 | test2.pilin.com | 192.168.203.177 | git | wadWsd48* |
5.漏洞利用
1.首先在域控检测是否有MS14-068这个漏洞,通过查看是否打补丁(KB3011780)来判断是否存在漏洞,下图可以看到没有打MS14-068漏洞相关的补丁
很明显没有这个补丁,我们可以利用这个漏洞进行提权
2.在win7上面测试该漏洞,win7用普通域用户登录
我们执行dir \\admin\c$
这个命令是我漏洞利用成功
后重启电脑后执行的,很明显,拒绝访问
不过漏洞利用成功后的结果就不是这个样子了。
我们使用whoami /all查看sid
利用ms14-068.exe提权工具生成伪造的kerberos协议认证证书
MS14-068.exe -u <userName>@<domainName> -p <clearPassword> -s <userSid> -d <domainControlerAddr>
这是ip写错或者密码写错后的情况!
利用mimikatz.exe将证书写入,从而提升为域管理员
好了,我们漏洞利用成功了!
使用PSTools目录下的PsExec.exe获取shell,#psexec.exe以管理员权限运行连接域控
6.总结
1、查看目标是否存在MS14-068漏洞
2、使用ms14-068.exe生成票据
3、mimikatz注入票据,获得域控权限
4、PSexec创建后门
