重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
这是一个危害较高的漏洞:只需要一个域内的普通用户的账户密码,便可拿到域控的权限
成都创新互联公司专注于延平企业网站建设,成都响应式网站建设,商城网站建设。延平网站建设公司,为延平等地区提供建站服务。全流程按需设计,专业设计,全程项目跟踪,成都创新互联公司专业和态度为您提供的服务建议看本文章前,先把之前写的NTLM与kerberos认证体系详解这篇文章看完。
漏洞原因简述利用伪造的高权限的PAC来获取一个带有高权限PAC的TGT。
(关于pac是什么可以看完上面的那个文章)
详细原因在我们的AS_REQ 请求中如果include-pac被置为 true,那么我们的 AS 会在返回的 TGT 中加入 PAC信息,如果我们在 AS_REQ 数据包中,将include-pac被置为 false,那么 AS_REP 返回的 TGT 中就不会包含 PAC
信息。在TGT中没有PAC信息后,我们就可以使用域用户去伪造"恶意"的PAC放入TGS_REQ中,KDC解密PAC后会再次加密到一个新的TGT中并返回给域用户(注意这里KDC返回的是一个TGT并不是一个ticket),此时的TGT中已经携带了“恶意”PAC,也就达到漏洞利用的目的。
通过以上流程我们成功获得了一个高权限的TGT。
漏洞演示攻击机:mac
域控:win2008 172.16.84.35
域内普通用户:test/1qaz@WSX
攻击工具: goldenPac
(这个工具最方便,有py与exe两种。是 ms14-068 与 psexec 的结合,可以直接获得一个shell回来)
# goldenPac.py
python3 goldenPac.py walking.com/test:1qaz@WSX@DC.walking.com -dc-ip 172.16.84.35 -target-ip 172.16.84.35 -debug
# goldenPac.exe
goldenPac.exe walking.com/test:1qaz@WSX@DC.walking.com
运行脚本:
成功获得域控的system权限shell:
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧