CVE-2020-1472漏洞實戰 深度剖析

2020-12-26 騰訊網

本文作者:Faith(Ms08067實驗室 內網安全攻防知識星球)

0x00漏洞說明

CVE-2020-1472是繼MS17010之後一個比較好用的內網提權漏洞,影響Windows Server 2008R 2至Windows Server 2019的多個版本系統,只要攻擊者能訪問到目標域控井且知道域控計算機名即可利用該漏洞.該漏洞不要求當前計算機在域內,也不要求當前計算機作業系統為windows,該漏洞的穩定利用方式為重置目標域控的密碼, 然後利用城控憑證進行Dc sync獲取域管權限後修復域控密碼,之所以不直接使用壞控憑證遠程執行命令,是因為城控帳戶是不可以登錄的,但是域控具備Dc sync權限, 可以獲取域內任意用戶的憑證。

漏洞利用過程中會重置域控存儲在域中(ntds.dit)的憑證,而域控存儲在域中的憑證與本地的註冊表/lsass中的憑證不一致時,會導致目標域控脫域,所以在重置完域控憑證後要儘快恢復。

0x01利用過程

0x01a mimikatz利用過程

測試環境:

工具地址:

測試步驟如下:

檢測是否存在CVE-2020-1472漏洞

2.利用CVE-2020-1472修改域控密碼為空

3.利用域控憑證通過dcsync獲取域管hash。

4.利用獲取的域管憑證進行hash注入獲取一個域管權限的cmd.exe。這裡的「domain:.」也可以是 「domain:A"

5.在新開的cmd中使用mimikatz修改域控密碼。

mimikatz會將保存在域中的憑證以及註冊表/lsass中的憑證同時修改為"Waza1234/Waza1234/Waza1234/",這樣不影響域控的正常工作。

0x01b zerologon利用過程

測試環境:

下載地址:

測試步驟如下:

1.檢測漏洞是否存在

2.修改域控密碼為空

3.使用impacket中的secretdump獲取域管hash,這裡的「./ADC1」也可以是「A/ADC1」,也就是說我們 不需要知道目標域名即可獲取到域管hash。

4.可以破解出域管密碼,使用net結合wmic、schtasks等遠程執行命令方法離線獲取保存在註冊表中 的域控憑證,也可以使用imapcket中的遠程執行工具通過hash傳遞獲取。當然也可以通過 mimikatz在域控上直接獲取,注意這一步一定要儘量快。

5.使用impacket中的secretsdump拿到域控機器帳戶原始哈希。

之前已經用mimikatz測試過一次,所以域控帳戶的hash為"Waza1234/Waza1234/Waza1234/"的hash。

6. 將dc機器用戶密碼恢復。

0x01c 利用方式對比

1.mimikatz使用起來比zerologon方便快捷,極大的縮短了域控憑證恢復時間,減小對業務的影響以 及被發現的可能。

2.mimikatz利用過程中第三步dcsync需要域名等信息,且需要當前計算機可以解析域控的IP。當前計算機在域內時使用這種方式比較便捷。建議使用zerologon利用過程的第三步進行替換。

3.mimikatz利用過程中第四步hash注入需要具有SeDebugPrivilege權限。

4.mimikatz利用過程中第四步hash注入在win10環境下需要繞過LSA Protection,該功能需要 mimidrv.sys文件,未繞過LSA Protection時報錯為。

使用mimikatz繞過LSA Protection的命令為:

0x02 尋找域控

1.利用nbtscan掃描識別,標註SHARING DC即為域控。

2.掃描存活主機的389埠、88埠是否開放。389埠運行著LDAP服務,88埠運行著Kerberos 服務,開放這兩個埠的計算機大概率為域控。

3.如果是撥VPN進入內網,可以 ipconfig /all 查看DNS伺服器,DNS可能是域控。

4.如果當前在域內,可以通過命令查詢域控。參考如下命令:

5.如果以上方式都無法定位到域控,嘗試獲取域內計算機權限後,查詢域控信息。

0x03 獲取域控計算機名

1.利用nbatscan掃描識別。

2.利用smb嗅探目標域控的計算機名。

3.利用3389獲取相關信息。查看3389的證書信息,或者用03版mstsc不輸憑證進入後「切換用戶」找到 計算機名,特定情況下可用。

4.嘗試利用DNS解析,可能不準確。

5.如果當前在域內,可以通過命令查詢域控。

6.如果以上方式都無法定位到域控,嘗試獲取域內計算機權限後,查詢域控信息。

0x04 一些技巧

1.檢測的目標計算機名不正確時,報錯如下:

2.如果不知道目標域的域管用戶名,可以secretsdump.exe -no-pass ./ADC1$@192.168.17.150 獲取所有用戶的hash,然後利用rid為500的用戶進行後續操作,或者使用任意用戶憑證通過adfind 或者powerview查詢域信息。如果當前計算機在域內的話還可以嘗試使用黃金票據。

3.驗證域控密碼是否恢復,如果域控hash為31d6cfe0d16ae931b73c59d7e0c089c0,代表未恢復。

本文來自內網知識星球【內網安全攻防 2.0計劃】系列文章,更多文章請加入內網知識星球共同學習。

相關焦點

  • 【獨家】K8S漏洞報告|近期多個CVE漏洞解讀
    安全漏洞CVE-2019-11247/ CVE-2019-11248/ CVE-2019-11249分析Kubernetes v1.15+ Bug Fix數據分析安全漏洞CVE-2019-11247/ CVE-2019-11248/ CVE-2019-11249分析近期Kubernetes社區通過Google
  • 復現:Windows遠程桌面服務漏洞CVE-2019-0708
    漏洞簡介: 2019年5月14日微軟官方發布安全補丁,修復了windows遠程桌面服務的遠程代碼執行漏洞,該漏洞影響了某些舊版本的Windows系統。此漏洞是預身份驗證且無需用戶交互,這就意味著這個漏洞可以通過網絡蠕蟲的方式被利用。
  • 「漏洞復現」Weblogic反序列化漏洞(CVE-2018-2628)
    漏洞描述Weblogic Server中的RMI 通信使用T3協議在Weblogic Server和其它Java程序(客戶端或者其它Weblogic Server實例)之間傳輸數據, 伺服器實例會跟蹤連接到應用程式的每個
  • CVE-2013-3906漏洞分析
    CVE-2013-3906是一個位於ogl.dll內的整數溢出漏洞,這是一個比較經典的整數溢出漏洞,當時是McAfee公司抓到的一個0day
  • 關於CVE-2020-11989 Apache Shiro身份驗證繞過漏洞通告
    04參考連結https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11989https://nvd.nist.gov/vuln/detail/CVE-2020-11989https://lists.apache.org/thread.html/r72815a124a119c450b86189767d06848e0d380b1795c6c511d54a675%
  • 蘋果watchOS 7.1以下發現任意代碼執行漏洞 需要儘快升級
    最近,Apple watchOS發現了一些需要儘快升級的重要漏洞。以下是漏洞的詳細信息:資料來源:https://Support.apple.com/zh-cn/HT2119281.cve-2020-27910,cve 2020-27916,cve 2020-10017,cve 2020-27909(官方尚未說明嚴重程度,如下所示)處理惡意製作的音頻文件可能導致任意代碼執行2.2020年-10003
  • CVE-2020-2555:WebLogic RCE漏洞分析
    轉載:nosec 作者:iso600010x00 前言不安全的反序列化漏洞已經逐漸成為攻擊者/研究人員在面對Java Web應用時尋找的目標。這些漏洞通常能得到可靠的遠程代碼執行(RCE)效果,並且修復起來比較困難。
  • CVE-2020-9484 tomcat session反序列化漏洞分析
    本文藉助CVE-2020-9484 Tomcat漏洞詳細的介紹了本地和遠程調試Tomcat 源碼。分析漏洞成因以及補丁修補情況,以及分析ysoserial反序列化鏈。0x01 漏洞簡介Apache Tomcat發布通告稱修復了一個源於持久化Session的遠程代碼執行漏洞(CVE-2020-9484)。
  • Golang TLS雙向身份認證DoS漏洞分析(CVE-2018-16875)
    原文作者:apisecurity翻譯來源:安全客原文連結:https://apisecurity.io/mutual-tls-authentication-vulnerability-in-go-cve-2018-16875/譯文連結:https://www.anquanke.com
  • Cve-maker是一個python工具,用於在當前或遠程計算機上檢測,查找,編譯和執行CVE.
    連結:https://github.com/msd0pe-1/cve-maker.gitEsn技術社區學習紀念U盤最新動態:所有預定/購買install.sh即可獲得對程序有用的庫:sh install.sh用法:Usage: python cve-maker.py [options] siteOptions:--version show program's version number and exit
  • ISC 2020漏洞管理與研究論壇拉開帷幕,現場揭秘國產手機晶片漏洞
    2020年3月,ESET研究人員發現了一個影響超過10億WiFi設備的超級漏洞,導致攻擊者可使用全零加密密鑰對設備的網絡通信進行加密;同月,間諜組織利用IE瀏覽器中存在的零日漏洞破解朝鮮電腦系統防線,以此攻擊和監控相關行業專家和研究人員;4月,蘋果公司承認其默認郵件程序中存在兩個漏洞且存在8年之久,影響波及全球超十億部蘋果設備,攻擊者可利用漏洞在多個版本的iOS系統上實現遠程代碼執行
  • CVE-2020-14882&14883weblogic未授權命令執行漏洞復現
    本文涉及靶場知識點-CVE-2020-14882&14883 weblogic未授權訪問漏洞https://www.hetianlab.com/expc.do?概述10 月 21 日,Oracle 官方發布數百個組件的高危漏洞公告。其中組合利用 CVE-2020-14882/CVE-2020-14883 可使未經授權的攻擊者繞過 WebLogic 後臺登錄等限制,最終遠程執行代碼接管 WebLogic 伺服器,利用難度極低,風險極大。
  • Yii2 反序列化漏洞復現分析
    1、漏洞描述Yii是一套基於組件、用於開發大型Web應用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在調用unserialize() 時,攻擊者可通過構造特定的惡意請求執行任意命令。
  • 年度大型攻防實戰全景:紅藍深度思考及多方聯合推演
    、局限、片面……於是大家決定進行一次雲碰撞、思想碰撞、實戰碰撞……一張紅藍攻防全景框架、五張動態推演圖、紅藍雙方深度思考打磨、幾十位攻防技術高手博弈、上百次的線上線下會議,歷時三月,共性智慧、初具成果,分享業界,持續研究,質由新生,信仰共造!
  • 青藤雲安全:年度大型攻防實戰場景中的主機安全陣地深度思考及推演
    相信前期看過PCSA發布的《年度大型攻防實戰全景---紅藍深度思考及多方聯合推演》文章的人,對於攻防實戰都會有新的認知。從上述文章中紅藍攻防全景框架、動態推演圖,大家都可以發現主機層防線是距離保護對象「神經中樞靶標」最近的,也是最後一道防線。今天筆者主要談談,站在主機層來看,紅藍攻防實戰推演是怎麼樣的?
  • Apache Dubbo反序列化漏洞(CVE-2019-17564)
    No.2 漏洞描述Unsafe deserialization occurs within a Dubbo application which has HTTPremoting enabled上面這部分是官方描述,也就是說當HTTP remoting 開啟的時候,存在反序列化漏洞。有一點在描述中值得注意的,也就是說它影響不只是dubbo,還有spring-web(5.1.9.RELEASE)之前。
  • 深度剖析遊戲中小龍的招式!致敬經典
    深度剖析遊戲中小龍的招式!致敬經典 2020-08-31 19:17 來源:洛聖都麥克深度剖析遊戲中小龍的招式!致敬經典 返回搜狐,查看更多 責任編輯: 聲明:該文觀點僅代表作者本人,搜狐號系信息發布平臺,搜狐僅提供信息存儲空間服務。
  • 「高危漏洞預警」CVE-2019-1367遠程代碼執行漏洞
    一、事件報告當地時間 9月 23 日,微軟官方發布了「網際網路瀏覽器累積安全更新」修復了Internet Explorer中的一個遠程代碼執行漏洞(CVE-2019-1367)。漏洞存在於IE 腳本引擎處理內存中對象的方式中。該漏洞可以破壞內存,使攻擊者可以在當前用戶的上下文中執行任意代碼。
  • 揭開Apple macOS 6LowPAN漏洞(CVE-2020-9967)的神秘面紗
    到內核權限的提權漏洞(但是蘋果稱之為遠程漏洞)。  該漏洞已於2020年5月11日提交給蘋果。  這個問題的漏洞編號為CVE-2020-9967,其修複方法包含在下面的安全更新中。  ·macOS Big Sur  2020年12月5日,蘋果公司表示,已經為所有適用平臺公布了該CVE。