域控提权

MS14-068

当我们拿到了一个普通域成员的账号后，想继续对该域进行渗透，拿到域控服务器权限。如果域控服务器存在 MS14_068 漏洞，并且未打补丁，那么我们就可以利用 MS14_068 快速获得域控服务器权限。

MS14-068编号CVE-2014-6324，补丁为3011780，如果自检可在域控制器上使用命令检测。

systeminfo |find "3011780"

为空说明该服务器存在MS14-068漏洞

这个漏洞产生的原因主要是以下几个问题：

CopyA、在域中默认允许设置 Include-pac 的值为 False（不能算漏洞，应该是微软对于某些特定场景的特殊考虑设计出的机制）
B、PAC 中的数字签名可以由 Client 端指定，并且Key的值可以为空
C、PAC 的加密方式也可以由 Client 指定，并且Key的值为 generate_subkey 函数生成的16位随机数
D、构造的 PAC 中包含高权限组的 SID 内容

通过以上几点， Client 完全伪造了一个 PAC 发送给 KDC ，并且 KDC 通过 Client 端在请求中指定的加密算法来解密伪造的 PAC 以及校验数字签名，并验证通过。KDC 在根据对伪造的 PAC 验证成功之后，返回给 Client 端一个新的TGT，也就是说这时 Client 已经获得了一张包含有高权限 PAC 内容的正常的TGT票据（564eab开头）。

在这个漏洞中主要的问题是存在于KDC会根据客户端指定PAC中数字签名的加密算法，以及PAC的加密算法，来校验PAC的合法性。这使得攻击者可通过伪造PAC，修改PAC中的SID，导致KDC判断攻击者为高权限用户，从而导致权限提升漏洞的产生。