探索网络安全新境界:CVE-2019-1040 工具

最新推荐文章于 2024-08-25 07:48:20 发布
最新推荐文章于 2024-08-25 07:48:20 发布
阅读量567 收藏 7
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00032/article/details/139210509
版权

探索网络安全新境界:CVE-2019-1040 工具

CVE-2019-1040项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2019-1040

在信息安全的世界中,漏洞利用是一种独特且强大的技能,而今天我们将介绍的开源项目正是这个领域的佼佼者 —— CVE-2019-1040。这个工具是针对2019年发现的一个重大安全漏洞的有效利用方法,它简化了对Exchange服务器的攻击,并可能进一步获得域管理员权限。

项目介绍

CVE-2019-1040是由Dirk-Jan Mollema在其博客《Exploiting CVE-2019-1040 - Combining relay vulnerabilities for RCE and Domain Admin》中详细描述的漏洞。该项目——CVE-2019-1040.py,是一个轻便易用的Python脚本,旨在帮助安全研究人员和防御者更好地理解并测试该漏洞的影响。

项目技术分析

此项目依赖于impacket库,这是一个强大且著名的网络协议包,支持多种网络安全协议如SMB、Kerberos等。CVE-2019-1040.py通过模拟身份验证过程,将认证请求从Exchange服务器重定向到目标域控制器(DC),从而允许攻击者执行远程命令或获取敏感信息。

项目及技术应用场景

  • 漏洞评估:对于系统管理员而言,该工具可以帮助他们确定其环境中的Exchange服务器是否受到这个特定漏洞的影响。
  • 渗透测试:在合法的安全测试环境中,可以使用它来模拟恶意攻击,以测试组织的安全防护措施。
  • 教育研究:对于学习网络安全的学生和专业人士,这个项目提供了一个实际操作的案例,用于了解如何利用特定漏洞以及防范此类攻击。

项目特点

  • 易于使用:只需要简单的命令行参数就可以运行,甚至支持使用密码或NTLM哈希进行身份验证。
  • 多功能性:提供了三种远程执行命令的方法(smbexec、wmiexec、mmcexec),可根据不同场景灵活选择。
  • 针对性强:可以选择仅提取特定用户的NTDS.DIT数据,例如krbtgt用户,以便获取关键的Kerberos票据密钥。
  • 调试模式:启用调试输出,有助于问题排查和过程跟踪。

示例用法:

python CVE-2019-1040.py -ah 攻击机IP -u 用户名 -p 密码 -d 域名.com -th DCIP 邮件服务器IP

结语

CVE-2019-1040.py不仅是一个工具,更是对安全社区的重要贡献,它使我们能够更加深入地理解和应对网络安全挑战。无论你是安全专家还是对这一领域充满好奇的学习者,这个项目都值得你一试。为了确保你的网络环境安全,强烈建议你尽快了解和应用这个工具。

CVE-2019-1040项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2019-1040

内网渗透(八十二)之 CVE-2019-1040 NTLM MIC 绕过漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-24 1094
2019年6月11日,微软发布6月份安全补丁更。在该安全补丁更中,对 CVE-2019-1040 漏洞进行了修复。该漏洞存在于Windwos 大部分版本中,当中间人攻击者能够成功绕过NTLM 消息完整性校验(MIC)时,Windows 存在可能可篡改的漏洞。成功利用此漏洞的攻击者可以获得降级 NTLM 安全功能的能力。要利用此漏洞,攻击者需要篡改NTLM 交换,然后修改NTLM 数据包的标志,而不会使签名无效。结合其他漏洞和机制,在某些场景下,攻击者可以在仅有一个普通账户域账户的情况下接管全域。
CVE-2019-1040:带有交换的CVE-2019-1040
05-24
CVE-2019-1040 很棒的文章! 。 因此,我编写了CVE-2019-1040.py以便于使用。 您还可以查看我的exchange2domain存储库: : ,这是使用Exchange获取DC的另一种方法。 要求 这些工具需要。 您可以使用pip install impacket从pip安装它。 用法 usage: CVE-2019-1040.py [-h] [-u USERNAME] [-d DOMAIN] [-p PASSWORD] [--hashes HASHES] [--smb-port [destination port]] -ah ATTACKER_HOST [-ap ATTACKER_PORT] -th TARGET_HOST
CVE-2019-1040 NTLM MIC 绕过漏洞
军火库
08-10 530
参数的含义如下:* --remove-mic:用于绕过NTLM的消息完整性校验* --esclate-user:用于指定用户DCSync权限* -t:将认证凭据中继到指定LDAP* -smb2support:用于支持SMB2协议* --no-dump: 表示获得DCSync权限后不导出域内所有用户的Hash* -debug:用于显示日志信息。如图所示,可以看到该脚本首先会遍历中继的机器账户的权限,发现目标Exchange服务器的机器账户在域内的机器账户拥有创建和修改域ACL的权限。以下实验基于这种情况。
CVE-2019-1040 Scanner 使用指南
最新发布
gitblog_00100的博客
08-25 309
CVE-2019-1040 Scanner 使用指南 cve-2019-1040-scanner项目地址:https://gitcode.com/gh_mirrors/cv/cve-2019-1040-scanner 本指南将详细介绍如何使用 CVE-2019-1040.Scanner 开源项目,该工具旨在检测目标系统是否存在CVE-2019-1040漏洞,即Drop The MIC安全风险。此...
CVE-2019-1040漏洞分析学习
whojoe的博客
08-13 1432
CVE-2019-1040漏洞分析学习前言分析参考文章 前言 前面写到在PetitPotam漏洞复现时可以结合CVE-2019-1040进行利用,绕过ntlm认证的mic校验。 而且无法通过中继自己的smb到自己的ldap,这是由于ldap需要协商签名,域控默认开启smb签名,并且存在mic防止篡改,如果绕过mic的校验就可以使smb中继到ldap进行利用,当然如果是http或者webadv的 不要求签名,可以参考。 当然还有一个问题就是无法使用自己的smb中继到自己的ldap,由于微软修复了ms08-06
CVE-2019-1040 原理及复现
weixin_44747030的博客
10-07 2521
CVE-2019-1040漏洞复现
sudo-cve-2019-18634:CVE-2019-18634的概念证明
03-21
CVE-2019-18634提醒我们,即使是最基本的系统管理工具也可能存在安全隐患。保持软件的更和实施严格的访问控制策略是防止此类漏洞利用的重要步骤。作为IT专业人员,我们需要时刻关注安全公告,及时采取措施来保护...
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
ioc-scanner-CVE-2019-19781:CVE-2019-19781的损害扫描程序指示器
03-12
CVE-2019-19781的损害扫描程序指示器 该存储库包含一个实用程序,用于检测与CVE-2019-19781相关的Citrix ADC设备的威胁。 该实用程序及其资源对FireEye Mandiant调查期间收集到的危害指标进行编码。 要了解更多信息...
CVE-2019-12814:CVE-2019-12814
05-26
CVE-2019-12814是一个针对Java Jackson数据绑定库的重大安全漏洞,该漏洞允许攻击者通过恶意构造的JSON输入在解析过程中执行任意代码,从而可能导致系统被完全控制。Jackson是广泛使用的Java库,用于序列化和反序列...
CVE-2019-1253:CVE-2019-1253的Poc
03-09
CVE-2019-1253 原始Poc已发送给MSRC。 此问题已在2019年9月“星期二”定期更中修复。 分配给CVE-2019-1253-Windows特权提升漏洞。 有两种PoC:我最初发送给MSRC的PoC位于“ AppxExploit_Edge”目录下。 ...
"蠕虫级"的高危远程漏洞CVE-2019-0708工具一个直接不重启修补一个检测.zip
05-24
与黑客争分夺秒,亲测可用RDP远程漏洞热补丁工具,官网正品资源
RDP漏洞[+CVE-2019-0708+]无损扫描工具GUI.rar
05-21
CVE-2019-0708poc ,懂得来,不懂得就别来了,360火神团队写的poc,亲测好用,用于自建,无损检测
portal认证_CVE-2019-1040:Windows NTLM认证漏洞预警分析
weixin_39626586的博客
12-05 355
0x00 漏洞描述2019年6月12日,微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁,攻击者可以利用该漏洞绕过NTLM MIC(消息完整性检查)。攻击者可以修改NTLM身份验证流程中的签名要求,完全删除签名验证,并尝试中继到目标服务器,不强制执行签名的服务器都易受到攻击。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域...
内网大杀器利用:CVE-2019-1040漏洞
systemino的博客
06-16 8533
概述 微软官方在6月补丁日中,发布了一枚重磅漏洞CVE-2019-1040的安全补丁。该漏洞存在于Windows大部分版本中,攻击者可以利用该漏洞可绕过NTLM MIC的防护机制,结合其他漏洞和机制,某些场景下可以导致域内的普通用户直接获取对于域控服务器的控制。 近日,对于此漏洞的利用细节被安全研究人员公布出来,利用此漏洞获取内网的控制变得非常可行,看他堪称内网大杀器,形成现实的巨大...
WebLogic 反序列化0day漏洞(CVE-2019-2725补丁绕过)预警
systemino的博客
06-16 1885
0x00 事件背景 2019年06月15日,360CERT监测到在野的Oracle Weblogic远程反序列化命令执行漏洞,该漏洞绕过了最的Weblogic补丁(CVE-2019-2725),攻击者可以发送精心构造的恶意HTTP请求,在未授权的情况下远程执行命令。目前官方补丁未发布,漏洞细节未公开。360CERT经研判后判定该漏洞综合评级为“高危”,强烈建议受影响的用户尽快根据临时...
Speculoos后门分析:利用CVE-2019-19781漏洞进行传播
systemino的博客
04-18 627
背景 3月25日,FireEye发布了一篇关于APT41组织近期攻击活动的文章。该攻击活动日期为1月20日——3月11日,主要利用近期公布的安全漏洞利用来攻击Citrix、Cisco、Zoho等网络应用。根据WildFire和AutoFocus数据,研究人员获得了攻击Citrix的payload样本,是运行在FreeBSD上编译的可执行文件。研究人员使用该数据发现了受害者遍布全球,位于医疗、高等...
结合CVE-2019-1040漏洞的两种域提权利用深度分析
systemino的博客
07-03 4115
0x00 漏洞概述 2019年6月,Microsoft发布了一条安全更。该更针对CVE-2019-1040漏洞进行修复。此次漏洞,攻击者可以通过中间人攻击,绕过NTLM MIC(消息完整性检查)保护,将身份验证流量中继到目标服务器。PHP大马 通过这种攻击使得攻击者在仅有一个普通域账号的情况下可以远程控制 Windows 域内的任何机器,包括域控服务器。 0x01 漏洞利...
Weblogic 漏洞修复指南:CVE-2019-2891 补丁安装步骤
“Weblogic Console组件漏洞修复文档详细介绍了针对Weblogic服务器的安全更过程,特别是针对CVE-2019-2891漏洞的修复。文档涵盖了Weblogic 10.3.6.0和12.1.3.0两个版本的升级和卸载补丁的操作流程,主要在Linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黎杉娜Torrent

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值