- 1、本文档共21页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
By 0m0a1~
0x00 前言
在上一篇中说明了Kerberos 的原理以及SPN 的扫描和Kerberoasting 的攻击方式,本章
具体说一下Kerberos 曾经爆出的一个经典的漏洞MS14068 和金银票据的原理和利用方式。
MS14068 是一个比较经典的漏洞,曾经也有同学在平台上说明过,本文炒一次冷饭并且对增
强型的金票据做一个说明。
0x01 MS14068
MS14068 是一个能够使普通用户提权到域控权限的权限提升漏洞。攻击者可以通过构
造特定的请求包来达到提升权限的目的。首先我们来说一下利用方式。
1 利用方式
实验环境:
域:YUNYING.LAB
域控:Windows Server 2008 R2 x64(DC)
域内主机:Windows 7 x64(s1):域帐户ts1
所需工具:
Pykek
mimikatz
攻击流程:
实验之前需要在域控主机查看是否安装了KB3011780 补丁,可通过systeminfo 来查看。
一、首先在域内主机s1 上通过dir 来访问域控的共享文件夹,示拒绝访问。
二、通过Pykek 工具利用漏洞,我这里使用的是将python 脚本编译之后的exe 文件。
参数说明:
-u 域账号+@+域名称,这里是ts1+@+yunying.lab
-p 为当前用户的密码,即ts1 的密码
-s 为ts1 的SID 值,可以通过whoami /all 来获取用户的SID 值
-d 为当前域的域控
By 0m0a1~
By 0m0a1~
脚本执行成功会在当前目录下生成一个ccache 文件。
三、使用 mimikatz 导入生成的 ccache 文件,导入之前 cmd 下使用命令 klist purge 或者在
mimikatz 中使用kerberos::purge 删除当前缓存的kerberos 票据。
再次dir 访问域控共享已经可以成功访问。
By 0m0a1~
By 0m0a1~
2 漏洞原理
MS14068 工具在使用过程中抓包可以看到s1 和域控30 (实质上是与安装
在域控上的KDC)有KRB_AS_REQ、KRB_AS_REP、KRB_TGS_REQ、KRB_TGS_REP 四次交互。
下面根据流程和工具源码来看漏洞是如何利用的:
KRB_AS_REQ
首先程序通过build_as_req 函数构建AS_REQ ,在这里可以看到,参数pac_request 设置
为false 。
也就是说设置了这个参数之后会向 KDC 申请一张不包含PAC 的TGT 票据,这是微软默
认的设计,在下列链接中有详细说明。
/en-us/previous-versions/aa302203(v=msdn.10)#security-
considerations
By 0m0a1~
By 0m0a1~
通过PCAP 包可以更直观的看到在AS-REQ 请求中的include-pac:False 字段。这是造成这个漏
洞的第一个因素。
KRB_AS_REP
在AS 发起请求之后,KDC (AS )将返回一张不包含有 PAC 的TGT 票据给 Client 。在这里是
tgt_a 。
抓包可以看到这个以26
文档评论(0)