Netlogon 特权提升漏洞 CVE-2020-1472 复现

最新推荐文章于 2023-02-07 18:45:17 发布
最新推荐文章于 2023-02-07 18:45:17 发布
阅读量10w+ 收藏 1
点赞数
分类专栏: 学习笔记 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaofei0428/article/details/114362815
版权

Netlogon服务为域控制器注册所有的srv资源记录。这些记录出现在DNS服务器的正向查询区域你的域名中的_msdcs, _sites, _tcp, and _udp等文件夹中。其他计算机利用这些记录查询域活动目录相关的信息。

“网络登录”系统服务维护计算机和域控制器之间的安全通道,对用户和服务进行身份验证。它将用户的凭据传递给域控制器,然后返回用户的域安全标识符和用户权限。这通常称为 pass-through 身份验证。“网络登录”被配置为仅在成员计算机或域控制器加入域时自动启动。在 Windows 2000 Server 系列和 Windows Server 2003 系列中,“网络登录”发布 DNS 中的服务资源定位器记录。当此服务运行时,它依赖“服务器”服务和“本地安全机构”服务来侦听传入的请求。在域成员计算机上,“网络登录”使用命名管道上的 RPC。在域控制器上,它使用命名管道上的 RPC、RPC over TCP/IP、邮筒以及轻型目录访问协议 (LDAP)。

漏洞名称

NetLogon权限提升漏洞

漏洞编号

CVE-2020-1472

威胁等级

高危

漏洞简介

当攻击者使用Netlogon远程协议(MS-NRPC)建立与域控制器的易受攻击的Netlogon安全通道连接时,将存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络上的设备上运行特制的应用程序。要利用此漏洞,需要未经身份验证的攻击者使用MS-NRPC连接到域控制器以获得域管理员访问权限。

影响版本:

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

github 项目地址:

https://github.com/dirkjanm/CVE-2020-1472

https://github.com/SecureAuthCorp/impacket

step 1:使用前需要更新最新版本的impacket,然后使用1-SecuraBV/zerologon_tester.py 检测是否存在此漏洞

step 2:确认存在漏洞后,使用 3-dirkjanm/cve-2020-1472-exploit.py 脚本清空域控密码

step 3:获取HASH

step 4:获取SHELL

微软解决方案:

  • 微软官方已针对该漏洞发布了安全补丁,补丁程序下载链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
  • DC上开启强制模式详细配置参考微软官方文档《如何管理与 CVE-2020-1472相关联的Netlogon安全频道连接中的更改》https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure- channel-connections-assoc
笨小孩@GF 知行合一
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
提高电脑运行速度--关闭电脑无用服务
xiao_xiao_b的博客
07-16 1183
电脑在不经过任何设置的情况下,后台会自动启动一些服务,有些服务我们是根本用不着的,选择关闭,可以适当提高电脑的运行速度 关闭方法: 右键我的电脑–>管理–>服务和应用程序–>服务–>鼠标右击想要关闭的服务–>属性 启动类型选禁用,然后点确定 一、建议关闭的服务 Computer Browser(默认手动) 可以被网络和共享中心的网络发现功能取代,设置为手动...
本地计算机上的netlogon服务启动后停止_微软NetLogon权限提升 CVE20201472 漏洞复现...
weixin_39963744的博客
12-01 1222
文末原文链接可直达博客简介NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器,也用于 NTP 响应认证以及更新计算机域密码微软MSRC于8月11日 发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472, CVSS 评分:10.0。由 Secu...
为什么我电脑服务中的Net Logon启动不了 刚启动又自动关闭了
热门推荐
MM22GG的专栏
09-23 1万+
http://zhidao.baidu.com/question/208269158.html&__bd_tkn__=2ea05e2235059b294f0ab67cabfc3fa0a3118ae88078338d51fed8133ea5c69d362ad36bb4bcda3b39bb3949f6bbe47087ac3af56e60b1f4e7eb60157a5cf5309b6ea8fd560f0
netlogon启动后停止_【漏洞通报】微软NetLogon提权漏洞
weixin_39860108的博客
11-26 770
近日,奇安信CERT监测到国外安全厂商发布了NetLogon 权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本。此漏洞是微软8月份发布安全公告披露的紧急漏洞,CVSS漏洞评分10分,漏洞利用后果严重,未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。相关EXP已经出现。...
CVE-2020-1472 Netlogon特权提升漏洞分析及复现
include_voidmain的博客
03-03 7005
0x01漏洞背景 NetLogon远程协议是一种在Windows 域控上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机域密码。 微软MSRC于8月11日发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472,CVSS评分:10.0。由Secura公司的Tom Tervoort发现提交并命名为ZeroLogon。 0x02漏洞分析 Netlogon协议使用的是自定义的加密协议来让客户端(加
Windows Update - How to manage the changes in Netlogon RPC associated with CVE-2020-1472
老陈醋的博客
12-29 227
Windows Update - How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
荒野求生的博客
11-16 608
How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc 适用于:Windows Server 2019, all editionsW.
Netlogon 特权提升漏洞(CVE-2020-1472)复现
bigblue00的博客
09-17 1749
漏洞简介: CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,同时其设置域控密码的远程接口也使用了该函数,导致可以将域控中保存在AD中的管理员password设置为空。 影响版本: Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Servic
CVE-2020-1472 NetLogon 权限提升漏洞
qq_53579360的博客
02-07 794
windows
【域渗透提权】CVE-2020-1472 NetLogon 权限提升漏洞
做自己喜欢的事,并将其发挥到极致!
06-23 2199
本篇文章仅用于技术研究和学习,切勿利用文中提及手段非法渗透攻击,造成任何后果与本作者无关,切记!CVE-2020-1472 NetLogon 权限提升漏洞原因是未经身份认证的攻击者可通过使用NetLogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。Netlogon 是在活动目录中比较重要的一个服务,此服务在 DC 和域成员服务器上运行,为域身份验证提供重要服务。...
CVE-2020-1472 NetLogon 特权提升漏洞1
08-03
CVE-2020-1472 NetLogon 特权提升漏洞1
CVE-2020-1472:CVE-2020-1472的测试工具
03-16
使用Impacket库测试Zerologon漏洞CVE-2020-1472)的漏洞的Python脚本。 它尝试执行Netlogon身份验证绕过。 成功执行旁路时,脚本将立即终止,并且不执行任何Netlogon操作。 修补域控制器后,检测脚本将在发送2000...
CVE-2020-1472:CVE-2020-1472亦称Zerologon的利用代码
03-18
CVE-2020-1472 CVE-2020-1472又称为Zerologon的检查和利用代码 测试域控制器是否容易受到Zerologon攻击,如果容易受到攻击,它将把域控制器的帐户密码重置为空字符串。 注意:它可能会破坏生产环境中的内容(例如...
zerologon:RPCTCP和RPCSMB的CVE-2020-1472的测试脚本
05-04
证明CVE-2020-1472可以通过RPC / SMB来完成,而不仅可以通过RPC / TCP来完成。 另外,最终的客户端挑战和客户端凭证中有一个随机字节-用于测试琐碎的IDS签名。 RPC / SMB扫描默认运行。 根据目标服务器的不同,...
CVE-2020-1472:PoC for Zerologon-所有研究学分归Secura的Tom Tervoort所有
03-16
CVE-2020-1472 POC 需要来自的最新版本,并添加了netlogon结构。 请注意,默认情况下,这会更改域控制器帐户的密码。 是的,这允许您进行DCSync,但同时也会中断与其他域控制器的通信,因此请当心! 更多信息和...
CVE-20200-1472
02-15
CVE-2020-1472 POC 需要来自的最新版本以及添加的netlogon结构。 请注意,默认情况下,这会更改域控制器帐户的密码。 是的,这允许您进行DCSync,但同时也会中断与其他域控制器的通信,因此请当心! 更多信息和...
发现是没有netlogon和sysvol共享.docx
06-17
发现是没有netlogon和sysvol共享,导致DFS无法同步。解决方法
重建SYSVOL和NETLOGON共享
06-28
重建SYSVOL和NETLOGON共享````
netlogon.dll
最新发布
01-10
netlogon
CVE-2020-1472
08-30
CVE-2020-1472是一个Windows域控中的严重的远程权限提升漏洞。该漏洞是由于微软在Netlogon协议中错误使用加密算法而引起的。在进行AES加密运算时,微软使用了AES-CFB8模式并错误地将初始化向量(IV)设置为全零。这使得在攻击者可以控制明文(客户端挑战)和IV等要素的情况下,存在较高的概率生成全零的密文。这个漏洞可能被攻击者利用来远程提升权限,并在Windows域控服务器上执行恶意操作。 为了利用该漏洞,可以使用提供的CVE-2020-1472-exploit.py脚本来攻击目标服务器。该脚本可以通过指定的命令行参数来执行攻击,例如"python3 cve-2020-1472-exploit.py dc$ 192.168.10.10"。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CVE-2020-1472 ZeroLogon漏洞分析利用](https://blog.csdn.net/qq_50854790/article/details/123121372)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2020-1472 NetLogon 权限提升漏洞](https://blog.csdn.net/qq_53579360/article/details/128923909)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值