当前位置:首页 > 黑客技术 > 正文内容

Kerberos KDC域管理权限提高漏洞小结

访客4年前 (2021-04-09)黑客技术549

01漏洞发源

Windows Kerberos 对 kerberos tickets 中的 PAC(Privilege Attribute Certificate)的验证步骤中存有安全性漏洞,低管理权限的历经验证的远程控制网络攻击运用该漏洞能够仿冒一个PAC并根据 Kerberos KDC(Key Distribution Center)的验证,进攻取得成功促使网络攻击能够提高管理权限,获得域管理员权限。

02漏洞叙述

(1)简易的互相真实身份验证

A向B推送信息时,会额外一个Authenticator(验证码 ,该算法设计=真实身份信息 时间格式)来开展彼此之间的真实身份验证。逐渐验证以前,A和B早已有一个有且只有二人了解的密匙)

下边是工作内容:

1.A用密匙数据加密了[信息 Authenticator(真实身份信息 时间格式)],将其发送给B

2.B用密匙破译了A发过来的Authenticator,并将在其中包括的时间格式记下来。B将这一时间格式与自身的获取当前时间开展较为,假如这一时差超过某一值(windows下默认设置是五分钟),B觉得信息并不是A发过来的,回绝事后验证。假如这一时差低于预设值,B要查验过去五分钟内,是不是存有带有更早时间格式的Authenticator,要是没有,B觉得信息的确是A发过来了。到此,完成了B对A的验证

3.B用密码加密Authenticator里的时间格式,随后将其送回给A,以证实自身的确是B

4.A接到后,破译出时间格式,历经自身的比照,确定了另一方的确是B,到此完成了A对B的验证

(2)Kerberos叙述

1.用户Sue登录到自身的手机客户端,手机客户端向验证服务器发送一个TGT(Ticket Granting Ticker)要求到KDC服务项目

2. 验证网络服务器确定用户的访问限制和session key验证网络服务器应用用户登陆密码HASH做为KEY去数据加密要求随后发送至手机客户端

3. 手机客户端事后应用这一登陆密码去破译之后的信息。破译取得成功后,用户应用TGT去到TGS要求一个服务项目单据

4. TGS回到一个服务项目单据

5. 用户拿服务项目单据去验证

6. 打开手机客户端和服务器端对话

(3)漏洞叙述

上边的图有一个地方沒有强调,不管TGT還是服务项目单据都包括一个PAC(Privilege Attribute Certificate),PAC包括了2个信息,一个是用户SID,另一个是用户的组。

当用户登陆KDC验证服务项目的情况下,服务项目会验证PAC中的签名。假如PAC带上的签名表明“Sue”是“域控管理人员”安全性组的组员,那麼建立的登录session对话就将Sue当做了管理人员。那样的验证存在的问题,网络攻击能够仿冒真实身份。

(4)漏洞伤害

这一漏洞的关键伤害是以一般域用户真实身份能够仿冒域管理员身份。

假如设备上并沒有修复漏洞 3011780 则很有可能存有这一漏洞可以被故意运用。

涉及到系统软件:

Windows Server 2003

Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8 and Windows 8.1

Windows Server 2012 and Windows Server 2012 R2

Server Core installation option

03漏洞基本原理

(1)PAC基本原理

Server接到Client发过来的TGS后,要依据TGS中Client声明所属的域组,和Server上的ACL开展对,随后决策给与Client哪些的資源访问限制。微软公司应用PAC来表明TGS中Client声明的域组。PAC(Privilege Attribute Certificate),权利特性资格证书。

PAC包括Client的User的SID、Group的SID。PAC决策了Client的组特性,即决策了Client的管理权限PAC为了更好地确保本身的合理合法,还包括两个签名,Key为krbtgt的NTLM,签名的內容除开User SID、Group SID外,也有别的一部分PAC做为TGT的一部分,是数据加密的,密匙为krbtgt的NTLM作Client向KDC的AS控制模块进行验证要求,AS回到TGT时,会依据Client所属的组,转化成PAC,包括Client的User SID、Group SID,及其用以保证PAC不被伪造的两个签名

(2)漏洞诱因

Client在进行验证要求时,根据设定include-PAC为False,则回到TGT中不容易包括PAC

KDC对PAC开展验证时,针对PAC尾端的签名优化算法,尽管基本原理上要求务必是含有Key的签名优化算法才能够,但微软公司在完成上,却容许随意签名优化算法,只需手机客户端特定随意签名优化算法,KDC网络服务器便会应用特定的优化算法开展签名验证。因而仿冒的随意內容都能够是合理合法的,立即再加上內容的MD5值做为签名就可以(第一个缘故)

PAC沒有被放到TGT中,放到其他地区。KDC在依然可以恰当分析出沒有放到TGT中的PAC信息PAC务必是保密,历经Key数据加密的KDC会从Authenticator中取下来subkey,把PAC信息破译并运用手机客户端设置的签名优化算法验证签名(第二个缘故)

KDC验证缺乏PAC的TGT取得成功后,再验证没有TGT中 的PAC的合理合法。假如两个均验证取得成功,KDC把PAC中的User SID、Group SID取下来,再次应用开展签名,签名优化算法和密匙与设定inclue-pac标志位为TRUE时一模一样。将新造成的PAC添加到破译后的TGT中,再再次数据加密制做全新升级的TGT发给Client,并不是TGS(第三个缘故)

04漏洞运用

在做域网站渗透测试时,在我们取得了一个一般域组员的账户后,想再次对该域开展渗入,取得域控服务器管理权限。假如域控服务器存有MS14-068漏洞,而且未修复漏洞,那麼大家就可以运用MS14-068迅速得到域控服务器管理权限。

MS14-068序号CVE-2014-6324,补丁下载为3011780,假如自查可在域控制器上应用指令检验,如回到結果为空则表明网络服务器存有MS14-068。

存有以下拓补图:

域用户hack在域组员服务器A上登录过,域组员服务器A的管理人员根据mimikatz获得了域用户hack的用户名,登陆密码,SID等价,并且域控存有MS14-068漏洞,如今域组员服务器A想根据MS14-068漏洞浏览域控。

1、转化成TGT

(1)应用net config workstation指令查询工作中域的名字

(2)应用ms14-068.exe转化成单据

相关ms14-068专用工具应用以下:

在其中 -u 域组员名@网站域名

-s 域组员SID

-d 域控制器详细地址

-p 域组员登陆密码

迄今为止唯一不清楚的是域组员SID的值,应用whoami -all指令能够查询域组员的SID值:

因此 应用以下指令转化成单据:

2、引入TGT

(1)在域组员设备上,先应用klist指令查询自身的单据信息

(2)假如存有单据,则应用klist purge指令清除掉,不然很有可能会造成 没法取得成功

(3)应用mimikatz开展引入

(4)查询单据是不是引入取得成功

(5)试着浏览域服务器

取得成功载入域服务器C盘文档,得到域控管理权限。

留意:

1.引入单据时,设备不可以是03或xp,由于mimikatz不兼容这两个设备引入

2. 当获得到域用户、域用户SID、登陆密码及其可浏览到域控制器的设备,并不一定设备一定在域中(如网络攻击根据VPN等拨入内部网),但必须把dns偏向域控制器才可以分析

3. 浏览域控制器时,必须应用IP地址,不可以应用IP

全自动运维管理|运维管理专用工具的不断迅速交货实践活动

【预警信息】具备极高可配备性的Zeppelin敲诈勒索病毒来袭!!!

【风险】可绕开防毒软件的Snatch病毒感染来啦!!!

当碉堡机会上防水坝,1 1撞击的安全性便是那么稳!

Android勒索病毒剖析

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106411.html

分享给朋友:

“Kerberos KDC域管理权限提高漏洞小结” 的相关文章

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡巴斯基实验室【1、2、3】、WatchGuard、Nuvias、FireEye、CyberArk、F...

黑客了解,中国黑客越南网络apt,黑客网站密码破解工具

6.42 · hxxp[://]offlineearthquake[.]com/file//?id=&n=000 进程三:使命履行及实时数据剖析10.61 2019年6月19日,FireEye Endpoint Security设备上收到了缝隙检测警报。 违规应用程序被辨认为Microso...

Webshell安全检测篇

0x00 依据流量的检测办法 1.概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分...

实用的刷卡门禁一体机 - 门禁设置说明书

2011-04-0511:45:53卡号:方向:未知,具体操作说明:门禁控制器,还要看你们所用的门禁是ID的还是IC的。具体的可以根据说明书操作。 手动开门[1 的大门2011-04-0511:45:43[1 大门无效用户刷卡时间,你这个说的真不知道怎么回答你。蜂鸣器连续断续鸣响报警,具体到可以统计...

今天大蒜价格 - 大蒜期货行情

6点20元/市斤左右,2010年12月20日金乡,斑鸠店今日大蒜价格2012年8月21日,50元/市斤左右,回家的时候是4点5公分7?未来一段时间价格是涨还是降,印尼:2点70元/斤左右。小蒜:1点70元/斤左右。单位:元/千克,5点0-6点0公分:2点30-2点。 所以我感觉大蒜要是能存的话,印尼...

Qq邮箱被黑客攻击怎么办,网络游戏提款难找黑客,电脑被黑客入侵修改开机密码

self.python_version = int(str(entry.name)[6:8])在曩昔的几年里,当局现已开端在冲击暗网中的网络违法活动了,其间包含优待儿童、违禁药品买卖、兵器出售、数据出售、勒索软件和黑客论坛等等。 近年来,大型网络违法商场逐步式微,尤其是在欧洲和美国当局在上一年打掉了...

评论列表

辞眸謓念
3年前 (2022-07-07)

ns偏向域控制器才可以分析3. 浏览域控制器时,必须应用IP地址,不可以应用IP全自动运维管理|运维管理专用工具的不断迅速交货实践活动【预警信息】具备极高可配备性的Zeppelin敲诈勒索病毒来袭!!!【风险】可绕开防毒软件的S

笙沉氿雾
3年前 (2022-07-07)

关ms14-068专用工具应用以下:在其中 -u 域组员名@网站域名-s 域组员SID-d 域控制器详细地址-p 域组员登陆密码迄今为止唯一不清楚的是域组员SID的值,应用whoami -all指令能够查询域组员的SID值:因此 应用以下指令转化成单据:2、引入TGT(1)在域组

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。