MS14-068 Kerberos域用户提权漏洞

Kerberos协议是一种基于第三方可信主机的计算机网络协议，它允许两个实体之间在非安全网络环境（可能被窃听、被重放攻击）下以一种安全的方式证明自己的身份。

远程权限提升漏洞存在于 Microsoft Windows 的 Kerberos KDC 实现中。存在该漏洞的症状是，Microsoft Kerberos KDC 实现无法正确验证签名，这可能造成 Kerberos 服务票证的某些方面被人伪造。简单来说就是一个域内的普通账户可以利用此漏洞进行权限提升，升级为域管理员权限。

漏洞需要以下四样道具

MS14-068是横向移动Pass the Ticket技术的一种，利用Kerberos认证机制进行攻击。除此之外，常见的还有金票攻击和银票攻击。本次不再详细介绍。

T1550003 Use Alternate Authentication Material: Pass the Ticket 票据传递

T1558001 Steal or Forge Kerberos Tickets: Golden Ticket 黄金票据

T1558002 Steal or Forge Kerberos Tickets: Silver Ticket 白银票据

查看系统补丁情况，没有打KB3011780补丁的机器是可以利用的

查看用户的SID

获得SID

还可以使用这条命令获取域内所有用户的 SID：

PyKEK 是一个利用 Kerberos 协议进行渗透的工具包，使用 PyKEK 可以生成一个高权限的服务票据，之后通过 mimikatz 将服务票据导入到内存中。

github >

SID（SystemIdentifier，系统标识符）：用来标识Oracle数据库的特定例程。对于任何一个数据库，都至少有一个引用数据库的例程。SID可以是未被此计算机上其他例程使用的任何名称。SID是Oracle数据库例程的唯一标识符，最多只能有8个字母、数字字符。每个数据库例程对应一个SID和一系列数据库文件。例如，当创建SID为XXX的数据库时，将同时创建数据库例程及其数据库文件（初始化参数文件、控制文件、重做日志文件和数据文件）。

SID也就是安全标识符。

安全标识符SID就要先说说安全主体（Security Principals），安全主体是一个能够对它分配权限的对象，例如，用户、组和计算机； 对于每一个Windows 200x域中的安全主体都有一个惟一的安全标识符SID。

安全标识符SID是一个值，这个值唯一地标识一个组织内的用户、组、计算机或服务。每一个帐户在被创建时会分配到一个安全标识符，Windows 200x域中通过安全标识符SID来实现访问控制机制。

SID的特点：

通过SID可以查看对应的用户，SID都是以字符串形式展现在我们面前的，如S-1-5-21-3805389047-3781885256-3221930211-1601。

但是SID是存储于AD域中的时候，其实真正的SID都是以十六进制数字形式存储的。在某些应用程序的日志中我们有时会发现，所有的SID的显示形式都是一串数字。

登陆本机器当然没问题了

但是要加入域中,注意两点

1估计你的电脑的系统是克隆出来的,SID号是一样的,用whoami/all命令看看SID号是否一样,如果一样这样就要用WIN SER 2003中的一个软件来更改SID号,软件在光盘里叫sysprepexe软件重新封装SID号

2你客户机的DNS要指向域控制器

if RequestQueryString("xiugaifl")="ok" then

id=request("id")

sql="select from shop_flx where id = "&id

set rs=servercreateobject("adodbrecordset")

sql="select title,etitle,px_id,sid from shop_flx"

rsopen sql,conn,1,3

title=requestform("title")

etitle=requestform("etitle")

px_id=requestform("px_id")

sid=requestform("sid")

if title="" then

responseWrite("<script language=javascript>alert('中文名称不能为空!');historygo(-1)</script>")

responseend

end if

if etitle="" then

responseWrite("<script language=javascript>alert('英文名称不能为空!');historygo(-1)</script>")

responseend

end if

if px_id="" then

responseWrite("<script language=javascript>alert('排序ID不能为空!');historygo(-1)</script>")

responseend

end if

IF not isNumeric(request("px_id")) then

responsewrite("<script>alert(""排序ID必须为数字！""); historygo(-1);</script>")

responseend

end if

rsaddnew

rs("title")=title

rs("etitle")=etitle

rs("px_id")=px_id

rs("sid")=id

rsupdate

rsclose

set rs=nothing

connclose

set rs=nothing

ResponseWrite "<script>alert('小分类增加成功！');windowlocationhref='shop_flxaspsid="&sid&"';</script>"

end if

%>

前段时间，在百度HI里接到一位网友的求助，内容大致类似如下：电脑在重装系统后无法打开某文件夹了，提示没有权限。D盘是NTFS格式，该朋友在重装系统前对该文件夹加了密！又没有导出密钥来备份。总说NTFS格式的安全性比FAT32高，其中一点就体现在这个EFS加密上，基本上无法破解。

先简单介绍一下如何加密吧：右击需要加密的文件或文件夹，选[属性]——[高级]——[加密]即可。加密后的文件夹为绿色，只有实施加密的用户才能打开，有人会说那重装系统后创建一个同名同密码的用户就行了吧，NO！涉及到很多问题：

EFS加密是通过对称算法加密的，2000支持DES，XP支持DES和3DES。但是加密所用的密钥是经过公钥算法加密的，这种算法几乎无法破解（暴力破解可以，但是不现实），而且加密的关键在于用户的SID，这个东西每次创建用户随机生成，就算用户名一致，也不行的。你的数据已经经过加密了，保存在硬盘上的就不是原来的数据了，所以不可能这么简单就访问到。2000毕竟还是C1级别的 *** 作系统呢，如果企业的重要数据经过EFS加密，如果容易解密，后果不可想像。另外文件权限也是记录在NTFS分区的ACL（访问控制表）里的，所以只要是微软出的 *** 作系统，都会严格检查的，ERD2003是基于Windows PE的，所以也会检查的。Windows XP也可以设置文件权限，只要选择我的文档，属性中设置为私有，就可以保证自己的了。但是更详细的设置，必须解除简单文件共享(不推荐，不安全)。

如果仅仅是权限，你重装系统后，可以用Administrators组的管理员帐号强行获取文件的控制权（先解除简单文件共享，然后在文件的属性-权限里添加你的新管理员帐号，赋予完全控制），但是加密的就无济于事了。

因此：

如果事先保存有密钥的话，那么任何用户只要安装这个密钥就可以打开加密的文件夹了。如何创建密钥呢？运行CERTMGRMSC会打开证书管理器，找到[个人]证书下的[XXX]证书（XXX就是你的用户名），右击它选择[所有任务]——[导出]导出并保存EFS证书。当你需要时可双击导出的密钥文件，按提示安装即可。

——————————SID安全标识符介绍—————通俗地理解为 *** 作系统的“身份z”—————

SID也就是安全标识符（Security Identifiers），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。

SID的作用

用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给 Windows NT，然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，Windows NT将会分配给用户适当的访问权限。

访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。

SID号码的组成

如果存在两个同样SID的用户，这两个帐户将被鉴别为同一个帐户，原理上如果帐户无限制增加的时候，会产生同样的SID，在通常的情况下SID是唯一的，他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。

一个完整的SID包括：

• 用户和组的安全描述

• 48-bit的ID authority

• 修订版本

• 可变的验证值Variable sub-authority values

例：S-1-5-21-310440588-250036847-580389505-500

我们来先分析这个重要的SID。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的帐户和组。

SID的获得

开始－运行－regedt32－HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members，找到本地的域的代码，展开后，得到的就是本地帐号的所有SID列表。

其中很多值都是固定的，比如第一个000001F4（16进制），换算成十进制是500，说明是系统建立的内置管理员帐号administrator，000001F5换算成10进制是501，也就是GUEST帐号了，详细的参照后面的列表。

这一项默认是system可以完全控制，这也就是为什么要获得这个需要一个System的Cmd的Shell的原因了，当然如果权限足够的话你可以把你要添加的帐号添加进去。

或者使用Support Tools的Reg工具：

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

还有一种方法可以获得SID和用户名称的对应关系：

1 Regedt32:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList

2 这个时候可以在左侧的窗口看到SID的值，可以在右侧的窗口中ProfileImagePath看到不同的SID关联的用户名，

比如%SystemDrive%\Documents and Settings\Administratormomo这个对应的就是本地机器的管理员SID

%SystemDrive%\Documents and Settings\Administratordomain这个就是对应域的管理员的帐户

另外微软的ResourceKit里面也提供了工具getsid，sysinternals的工具包里面也有Psgetsid，其实感觉原理都是读取注册表的值罢了，就是省了一些事情。

SID重复问题的产生

安装NT／2000系统的时候，产生了一个唯一的SID，但是当你使用类似Ghost的软件克隆机器的时候，就会产生不同的机器使用一个SID的问题。产生了很严重的安全问题。

同样，如果是重复的SID对于对等网来说也会产生很多安全方面的问题。在对等网中帐号的基础是SID加上一个相关的标识符（RID），如果所有的工作站都拥有一样的SID，每个工作站上产生的第一个帐号都是一样的，这样就对用户本身的文件夹和文件的安全产生了隐患。

这个时候某个人在自己的NTFS分区建立了共享，并且设置了自己可以访问，但是实际上另外一台机器的SID号码和这个一样的用户此时也是可以访问这个共享的。

SID重复问题的解决

下面的几个试验带有高危险性，慎用，我已经付出了惨痛的代价！

微软在ResourceKit里面提供了一个工具，叫做SYSPREP,这个可以用在克隆一台工作站以前产生一个新的SID号码。 下图是他的参数

这个工具在DC上是不能运行这个命令的，否则会提示

但是这个工具并不是把所有的帐户完全的产生新的SID，而是针对两个主要的帐户Administrator和Guest，其他的帐号仍然使用原有的SID。

下面做一个试验，先获得目前帐号的SID： S-1-5-21-2000478354-688789844-839522115

然后运行Sysprep，出现提示窗口：

确定以后需要重启，然后安装程序需要重新设置计算机名称、管理员口令等，但是登陆的时候还是需要输入原帐号的口令。

进入2000以后，再次查询SID，得到：

S-1-5-21-759461550-145307086-515799519，发现SID号已经得到了改变，查询注册表，发现注册表已经全部修改了，当然全部修改了。

另外sysinternals公司也提供了类似的工具NTSID，这个到后来才发现是针对NT4的产品，界面如下：

他可不会提示什么再DC上不能用，接受了就开始，结果导致我的一台DC崩溃，重启后提示“安全账号管理器初始化失败，提供给识别代号颁发机构的值为无效值，错误状态0XC0000084，请按确定，重启到目录服务还原模式”，即使切换到目录服务还原模式也再也进不去了！

想想自己胆子也够大的啊，好在是一台额外DC，但是自己用的机器，导致重装系统半天，重装软件N天，所以再次提醒大家，做以上试验的时候一定要慎重，最好在一台无关紧要的机器上试验，否则出现问题我不负责哦。另外在Ghost的新版企业版本中的控制台已经加入了修改SID的功能，自己还没有尝试，有兴趣的朋友可以自己试验一下，不过从原理上应该都是一样的。

文章发表之前，又发现了微软自己提供的一个工具“Riprep”，这个工具主要用做在远程安装的过程中，想要同时安装上应用程序。管理员安装了一个标准的公司桌面 *** 作系统，并配置好应用软件和一些桌面设置之后，可以使用Riprep从这个标准的公司桌面系统制作一个Image文件。这个Image文件既包括了客户化的应用软件，又把每个桌面系统必须独占的安全ID、计算机账号等删除了。管理员可以它放到远程安装服务器上，供客户端远程启动进行安装时选用。但是要注意的是这个工具只能在单硬盘、单分区而且是Professional的机器上面用。

以上就是关于MS14-068 Kerberos域用户提权漏洞全部的内容，包括:MS14-068 Kerberos域用户提权漏洞、怎么查看oracle当前使用的是哪个数据库sid(oracle查看当前数据库的名称)、sid的解释是什么等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！