域控 批量导入 用户_kerberos域用户提权分析
生活随笔
收集整理的這篇文章主要介紹了
域控 批量导入 用户_kerberos域用户提权分析
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
2014年,微軟發(fā)布了一個緊急補丁,修復(fù)了Kerberos域用戶提權(quán)漏洞(MS14-068),所有的Windows服務(wù)器操作系統(tǒng)都受到該漏洞的影響。該漏洞允許攻擊者將域內(nèi)任意用戶權(quán)限,提升到域管理員級別。如果想利用這個漏洞,把自己變成域控管理員,只需要知道:
- 域內(nèi)任意用戶名
- SID
- 密碼
- 域控IP地址
反正我覺得這本書上,對這一塊講的不咋滴,至少我沒看到特權(quán)體現(xiàn)在哪?不知道大家怎么看?不過放心,這個知名的漏洞,肯定還會有后續(xù)的實驗的~
漏洞原理:
- 用戶向KDC(K8S秘鑰分發(fā)中心)申請TGT(身份憑證)時
- 用戶可以偽造自己的票據(jù)
- 如果票據(jù)聲明自己有域管理員權(quán)限
- 而KDC在處理該票據(jù)時未驗證票據(jù)的簽名
- 那么返回給用戶的TGT就擁有域管理員權(quán)限
- 用戶將有域管理員權(quán)限的TGT發(fā)送到TGS(票據(jù)授權(quán)服務(wù))
- 就會獲得特權(quán)ST(服務(wù)票據(jù))
- 于是可以訪問域內(nèi)的一切資源
步驟一:查看域控制器的補丁
- 沒有KB3011780補丁
- 存在CVE-2014-6324(MS14-068漏洞)
步驟二:查看用戶的SID
- ailx32:SID=S-1-5-21-1632228486-913648825-264583114-1001
- Administrator:SID=S-1-5-21-1632228486-913648825-264583114-500
步驟三:克隆pykek
- 下載地址:github項目
- ms14-068.py是pykek工具包中的漏洞利用腳本
步驟四:生成高權(quán)限票據(jù)
- 普通域用戶名:ailx32
- 域:hackbiji.top
- 普通SID:S-1-5-21-1632228486-913648825-264583114-1001
- 域控IP: 192.168.160.143
- 普通賬號密碼:W2ngluoanquan
步驟五:驗證權(quán)限
- 低權(quán)限的票據(jù),無效
- 高權(quán)限票據(jù),無效
- 最后結(jié)論就是,我票據(jù)確實導(dǎo)入了呀
- 但是它死活不能用普通身份獲得IPC通道
- 如果知道用戶名和密碼,那么是可以直接獲得IPC通道的呀
- 何必搞的那么復(fù)雜呢?
- 更可氣的是,我啥也沒干,通過管理員權(quán)限運行cmd,就已經(jīng)拿到IPC權(quán)限了
- 蜜汁操作
后續(xù)實驗來了:抓緊時間收藏~
一、在metasploit中實驗
- 利用ms14-068漏洞
- 生成20200926141524_default_192.168.160.143_windows.kerberos_231623.bin
- 需要通過mimikatz進行一下格式轉(zhuǎn)換
二、在mimikatz中進行格式轉(zhuǎn)換
- 獲得kirbi格式的文件
- 留著后面提權(quán)用
三、生成一個反向shell的木馬
- 獲得hack.exe
四、監(jiān)聽木馬的來信
- 通過metasploit監(jiān)聽5555端口
五、魚兒上鉤
- 獲得普通權(quán)限 hackbijiailx32
六、導(dǎo)入票據(jù)
- 狗屁,報錯(Kerberos ticket application failed.)
- 騙子
本篇完~
總結(jié)
以上是生活随笔為你收集整理的域控 批量导入 用户_kerberos域用户提权分析的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 重庆有什么特色美食?
- 下一篇: 四川有哪些小吃?