介绍PAC之前,先重新捋一捋Kerberos协议的流程
PAC在其中出现的节点为AS_REP和AP_REP。在AS_REP中,KDC返回的tgt票据中包含了PAC。
在AP_REP中,服务解密验证正确后将PAC发送给KDC,KDC根据PAC的值来判断用户是否有权限访问该服务。
而在TGS_REP中,不管Client是否有权限访问特殊服务,只要Client发送的TGT票据是正确的,那么就会返回服务hash加密的tgs票据,这也是kerberoating利用的原因。换而言之,不管你是什么用户,只要你的hash正确,那么就能请求域内任意服务的TGS票据。
krbtgt服务的密码是随机生成的,就别想了。
PAC的结构看不懂,见daiker师傅文章吧。这里介绍下因为pac引发的高危漏洞MS14-068
以下内容摘抄自《深入解读MS14-068漏洞:微软精心策划的后门?》
直接打,需要一个域账户。
goldenPac.py windows的在 https://github.com/maaaaz/impacket-examples-windows 下载
https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS14-068
exe和python版本,演示py的版本。
拼接domain sid和域用户id
S-1-5-21-514356739-3204155868-1239341419-1111
生成tgt票据 ptt过去
文笔垃圾,措辞轻浮,内容浅显,操作生疏。不足之处欢迎大师傅们指点和纠正,感激不尽。