Kerberos_2_Kerberos协议探索系列之票据篇.pdfVIP

By 0m0a1~ 0x00 前言 在上一篇中说明了Kerberos 的原理以及SPN 的扫描和Kerberoasting 的攻击方式，本章 具体说一下Kerberos 曾经爆出的一个经典的漏洞MS14068 和金银票据的原理和利用方式。 MS14068 是一个比较经典的漏洞，曾经也有同学在平台上说明过，本文炒一次冷饭并且对增 强型的金票据做一个说明。 0x01 MS14068 MS14068 是一个能够使普通用户提权到域控权限的权限提升漏洞。攻击者可以通过构 造特定的请求包来达到提升权限的目的。首先我们来说一下利用方式。 1 利用方式 实验环境： 域：YUNYING.LAB 域控：Windows Server 2008 R2 x64(DC) 域内主机：Windows 7 x64(s1):域帐户ts1 所需工具： Pykek mimikatz 攻击流程： 实验之前需要在域控主机查看是否安装了KB3011780 补丁，可通过systeminfo 来查看。 一、首先在域内主机s1 上通过dir 来访问域控的共享文件夹，示拒绝访问。 二、通过Pykek 工具利用漏洞，我这里使用的是将python 脚本编译之后的exe 文件。 参数说明： -u 域账号+@+域名称，这里是ts1+@+yunying.lab -p 为当前用户的密码，即ts1 的密码 -s 为ts1 的SID 值，可以通过whoami /all 来获取用户的SID 值 -d 为当前域的域控 By 0m0a1~ By 0m0a1~ 脚本执行成功会在当前目录下生成一个ccache 文件。 三、使用 mimikatz 导入生成的 ccache 文件，导入之前 cmd 下使用命令 klist purge 或者在 mimikatz 中使用kerberos::purge 删除当前缓存的kerberos 票据。 再次dir 访问域控共享已经可以成功访问。 By 0m0a1~ By 0m0a1~ 2 漏洞原理 MS14068 工具在使用过程中抓包可以看到s1 和域控30 （实质上是与安装 在域控上的KDC）有KRB_AS_REQ、KRB_AS_REP、KRB_TGS_REQ、KRB_TGS_REP 四次交互。 下面根据流程和工具源码来看漏洞是如何利用的： KRB_AS_REQ 首先程序通过build_as_req 函数构建AS_REQ ，在这里可以看到，参数pac_request 设置 为false 。 也就是说设置了这个参数之后会向 KDC 申请一张不包含PAC 的TGT 票据，这是微软默 认的设计，在下列链接中有详细说明。 /en-us/previous-versions/aa302203(v=msdn.10)#security- considerations By 0m0a1~ By 0m0a1~ 通过PCAP 包可以更直观的看到在AS-REQ 请求中的include-pac:False 字段。这是造成这个漏 洞的第一个因素。 KRB_AS_REP 在AS 发起请求之后，KDC （AS ）将返回一张不包含有 PAC 的TGT 票据给 Client 。在这里是 tgt_a 。 抓包可以看到这个以26