MS14-068域权限提升漏洞总结
作者&投稿:村旺 (若有异议请与网页底部的电邮联系)
谈到ms14-068,不得不提及silver ticket,也就是银票。银票是一张tgs,即服务票据。服务票据是客户端直接发送给服务器,请求服务资源的。如果服务器未向域控dc验证pac,那么客户端可以伪造域管的权限来访问服务器。因此,ms14-068的起源与银票密切相关。
在mimikatz作者的ppt中,描述如下:
这确实是一个大漏洞,允许域内任何普通用户将自己提升至域管权限。微软提供的补丁是kb3011780。在server 2000以上的域控中,如果没有打上这个补丁,情况将非常糟糕。
Microsoft Security Bulletin MS14-068 - Critical
0x02 漏洞利用2.1 Windows环境下测试
在Windows环境下,mimikatz的作者已经编写了一个exploit。
gentilkiwi/kekeo
其中的ms14-068.exe正是此漏洞的利用工具。要测试这个漏洞,前提是要明白kerberos的整个认证协议过程,否则不会明白原理,测试过程中遇到问题也不知道如何解决。作为渗透测试人员,如果我们对Windows环境中如此重要的一个认证协议都不了解,我想内网渗透也是徒劳。
利用这个漏洞,我们需要一个普通域用户的账户名和密码或哈希,域名称以及该用户的sids。这些都不是重点,重点是获取一个域用户账户的方法,我们可以在域内的某台机器上抓取hash或明文密码,或者使用其他方法。
2.1.2 Windows下利用过程
测试环境:
首先在dc上检测是否有这个漏洞:
很遗憾,没有打这个补丁。
下面在win7上测试该漏洞。Win7是一台普通的域内机器,普通域用户jack登录。
测试访问域控的c盘共享:
访问被拒绝。
为了使生成的票据生效,首先需要清除内存中已有的kerberos票据,清除方法使用mimikatz:
使用ms14-068生成一张高权限的berberos服务票据,并注入到内存中:
再测试访问:
测试psexec无密码登录
很棒,达到了我们想要的效果。
如果想生成一张kerberos票据,做票据传递攻击(ptt),可以这样:
再配合mimikatz的ptt功能,将票据导入到内存中。
2.2 Kali环境下测试
如果是远程内网环境,首先要做内网代理,这个不用多说。然后将自己的dns指向域控制器。
Linux下面测试的工具也有很多,当然msf这个漏洞利用框架肯定是少不了这个模块。关于msf的利用过程这里就不再多讲,给出国外的一篇利用过程:
12 Days of HaXmas: MS14-068, now in Metasploit!
2.2.1 goldenPac.py
Kali下面利用此漏洞的工具我强烈推荐impacket工具包中的goldenPac.py,这个工具是结合ms14-068加psexec的产物,利用起来十分方便。
Kali下面默认还没有安装kerberos的认证功能,所以我们首先要安装一个kerberos客户端:
最简单的方法:
goldenPac.py xxx.com/jack:jackpwd@dc...就可以得到一个cmd shell:
当然此工具不仅得到一个shell,我们甚至可以直接让该域控运行我们上传的程序,执行一个empire stager或一个msf payload都不在话下。
2.2.1 ms14-068.py
bidord/pykek
效果和mimikatz作者写的exploit差不多,这个脚本是生成一张kerberos的票据缓存,这个缓存主要是针对linux上面的kerberos认证的,但是mimikatz也有传递票据缓存的功能(ptc),实际上和mimikatz产生的kirbi格式的票据只是格式不同而已。
当然没有kerberos客户端也不行,如果没有安装记得先安装:
这个利用过程需要sid和用户名密码(哈希也可以)。
利用方法:
这样生成了一张kerberos认证的票据缓存,要让这个票据在我们认证的时候生效,我们要将这张缓存复制到/tmp/krb5cc_0
注意在kali下默认的root用户,使用的kerberos认证票据缓存默认是/tmp/krb5cc_0,所以我们只要将我们生成的票据缓存复制到/tmp/krb5cc_0即可:
Klist可以列举出当前的kerberos认证票据,jack这张票据已经成功导入。
下面我们使用psexec.py来测试一下使用这张缓存的票据来得到一个域控的shell:
可以说也是很简单。
0x03 小结
Ms14-068这个漏洞可以说是威力无穷,在域渗透中,我们第一步就是检测域控是否有这个漏洞,一旦域控没有打上这个补丁,将会使我们的内网渗透工作变得十分简单。
参考链接:
BlueHat 2014 – The Attacker's View of Windows Authentication and Post Exploitation
from
Benjamin Delpy
*作者:MottoIN Team成员宝-宝,未经允许禁止转载
旗行新杰: 与TCP/IP(传输控制协议或internet协议)一样,命名管道是一种通讯协议.它一般用于局域网中,因为它要求客户端必须具有访问服务器资源的权限. 要解释这个问题,我还是摘录微软官方的资料比较好 http://msdn.microsoft.com/zh-cn/library/...
左云县19697929404: windows内核模式驱动权限提升漏洞什么意思 - ?
旗行新杰: 简单点说就是windows系统的一个漏洞,这个漏洞有可能会让不法分子利用这个漏洞来提升对计算机的访问权限,从而达到控制计算机的目的;建议安装此漏洞的补丁;在Windows NT4.0中的驱动程序可以分为2大类:用户模式驱动程序和内核...
左云县19697929404: 如何查看主机是否打了ms14 - 068 漏洞补丁 - ?
旗行新杰: 试试腾讯电脑管家,杀毒+管理2合1,还可以自动修复漏洞:第一时间发现并修复系统存在的高危漏洞,在不打扰您的情况下自动为系统打上漏洞补丁,轻轻松松将病毒木马拒之门外.自动修复漏洞 电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞)时,第一时间自动进行修复,无需用户参与,最大程度保证用户电脑安全.尤其适合老人、小孩或计算机初级水平用户使用
左云县19697929404: internet网络存在那些主要安全漏洞??
旗行新杰: 具体漏洞如下: 1. CSS堆内存存在远程代码执行漏洞 2. IE在处理具有相似navigation方法名时存在漏洞 3. 安装引擎(Inseng.dll)存在远程代码执行漏洞 4. IE处理Drag 和Drop事件时存在权限提升漏洞 5. IE处理双字节字符集URL时存在地址栏欺骗漏洞 6. IE处理Plug-in navigations时存在地址栏欺骗漏洞 7. IE处理image tag中的脚本时存在权限提升漏洞 8. IE验证cache中受SSL保护的内容时存在欺骗漏洞
左云县19697929404: 什么是本地提权漏洞和远程代码执行漏洞? - ?
旗行新杰: 这都是缓冲区溢出攻击,是由于程序代码的漏洞引起得,缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患. 如ms08004就是远程执行漏洞,ms就是microsoft,08年4日的补丁,黑客通过快速的反汇编手段,知道漏洞的地方,然后制作针对的工具,用来抓肉鸡.通常方法有挂马个扫鸡. 而本地溢出攻击一般用在入侵服务器中的提权,也就是本地提升服务器权限.如ms08025,就可以通过黑客精心构造的代码,执行cmd命令,添加超级管理员!
左云县19697929404: 电脑硬件与网络技术 - ?
旗行新杰: 统一管理不是直接因素不能安装的原因可能是域或用户权限问题!!!可根据系统一些权限提升的漏洞来提升例如:SERVU的本地权限提升但是还要具体问题具体分析最好贴出不能安装的错误提示
左云县19697929404: 破解GUEST权限 - ?
旗行新杰: 呵呵,给你这点东西,很有用的.GUEST帐号默认是没有权限创建一个管理员帐号的.可是偏偏就有这么一个方法让其当了回“老大”,简单几步就夺下了系统的最高权限.这其中的大概原理也很简单,由于Window...
左云县19697929404: linux内核漏洞有哪些 - ?
旗行新杰: 安全研究团队Perception Point发现Linux系统内核中存在一个高危级别的本地权限提升0day漏洞,编号为CVE-2016-0728.目前有超过66%的安卓手机和1000万Linux PC和服务器都受到这项内存泄露漏洞的影响. 漏洞介绍 Perception Point研究...
左云县19697929404: 你的账户不具有与当前设置同步的权限.请联系管理员?
旗行新杰: 我认为 我们学校也是的.以前我这样做过的:一、获得进程PID值 根据漏洞特点,我们需要获取一个桌面应用程序(如explorer.exe)的进程PID值.在系统的“任务管理器”中,我们是看不到进程的PID值的,所以我们需要借助一款可以查看系统...
左云县19697929404: 如何解决关于电脑权限的漏洞??
旗行新杰: 你好,瑞星垃圾的.. 建议修复漏洞使用360安全卫士来修复 绝对比瑞星强的多 360安全卫士: http://www.360.cn/down/soft_down2-3.html 若还有问题可以给我留言 希望我的回答能对您有所帮助~
