探秘ZeroLogon:Windows域控安全漏洞的克星

最新推荐文章于 2024-05-27 09:14:56 发布
最新推荐文章于 2024-05-27 09:14:56 发布
阅读量470 收藏 4
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00088/article/details/137366898
版权

探秘ZeroLogon:Windows域控安全漏洞的克星

零日攻击(Zero-Day)是网络安全领域的一种严重威胁,而ZeroLogon则是2020年发现的一个影响Windows域控制器的重大漏洞。本文将深入探讨,这是一个开源工具,旨在帮助系统管理员检测并修复此漏洞。

项目简介

ZeroLogon项目由安全研究人员Rvn0xsy创建,旨在模仿并防御CVE-2020-1472这一著名的Windows域控漏洞。该漏洞允许无权限的攻击者完全接管Windows域控制器,对企业的数据安全构成巨大威胁。通过使用ZeroLogon,你可以检查你的网络环境中是否存在这个漏洞,并采取必要的补救措施。

技术分析

ZeroLogon利用了NTLM身份验证协议中的一个逻辑错误,该错误允许攻击者设置空的SID(Security Identifier)作为凭据进行认证。由于在某些情况下,Windows域控制器没有正确处理这种情况,导致攻击者无需任何凭据就能获得特权访问权限。

项目提供的工具能够模拟这种攻击,以检测系统是否易受此漏洞的影响。同时,它还提供了一个修复脚本,以帮助管理员更新受影响的系统配置,防止潜在的攻击。

应用场景

  1. 安全审计:对于IT管理员来说,定期运行ZeroLogon扫描可以确保网络环境的安全性,及时发现和修补可能的漏洞。
  2. 教育与研究:网络安全专业人员可以通过该项目了解零日攻击的工作原理,提高对抗此类攻击的能力。
  3. 应急响应:一旦发现网络受到类似攻击,ZeroLogon的修复工具可以帮助快速恢复系统的安全性。

特点

  1. 开源免费:ZeroLogon工具源代码开放,任何人都可以审查、学习甚至改进代码,有助于提升整个社区的安全水平。
  2. 易于使用:项目提供了清晰的使用指南,即使是对编程不太熟悉的IT管理员也能轻松上手。
  3. 全面测试:针对CVE-2020-1472,ZeroLogon进行了详尽的测试,确保其诊断准确,修复有效。

结语

面对网络安全挑战,ZeroLogon项目为我们提供了一种主动应对的方式。通过理解和应用这个工具,我们可以更好地保护我们的Windows域环境免受ZeroLogon漏洞的危害。如果你管理着Windows网络,那么现在就是开始使用ZeroLogon进行安全检测的最佳时刻。不要等到攻击发生后才后悔没有提前做好准备。立即行动,让我们的网络更安全!

宋溪普Gale
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
探索ZeroLogon:解决Windows域控制器安全漏洞的利器
gitblog_00003的博客
04-15 451
探索ZeroLogon:解决Windows域控制器安全漏洞的利器 项目地址:https://gitcode.com/risksense/zerologon 项目简介 ZeroLogon 是一个开源项目,由RiskSense公司开发并维护。该项目主要针对网络安全领域的一个重大威胁——CVE-2020-1472(也被称作“ZeroLogon”漏洞)提供检测和缓解工具。此漏洞影响了Windows域控制器...
zerologon:零登录漏洞CVE-2020-1472的利用
03-17
ZeroLogon开发脚本 利用基于和代码。 Secura的原始研究和扫描仪,RiskSense Inc.的修改。 要利用该漏洞,请清除您以前安装的所有Impacket,然后从或更高版本安装Impacket。 然后做: python3 set_empty_pw DC_NETBIOS_NAME DC_IP_ADDR 如果成功的话,您将能够: secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr' 这应该使您成为域管理员。 完成后,使用来自secretsdump的凭据将wmiexec.py转到目标DC并执行 reg save HKLM\SYSTEM system.save reg save HKLM\SAM sam.save reg save HKLM\SE
域提权漏洞系列分析-Zerologon漏洞分析
hakksjss的博客
05-27 812
3.利⽤置零修改域控密码为空,这⼀步会把域控win-3o8g1o8vv2e(即win-3o8g1o8vv2e$⽤户)的密码置为空, hash为31d6cfe0d16ae931b73c59d7e0c089c0,回显两个OK显示成功把密码置零(如图6- 所示),因为机器⽤ 户是不可以登录系统的,但是域控的机器⽤户具备Dcsync特权,我们就可以滥⽤该特权来进⾏Dcsync攻击;图6- 获取域控制服务器的机器账号。图6- 利⽤置零修改域控密码为空。图6- 探测域控是否存在该漏洞。
ZeroLogon (CVE-2020-1472) 漏洞利用
热门推荐
Captain_RB的博客
10-24 1万+
ZeroLogon (CVE-2020-1472) 是近几年Windows上曝出的高危漏洞,CVSS V3.0评分10.0,攻击者只需要定位域控主机名及IP,并且可以访问域控,就可以在无需任何凭据的情况下 (可在域外) 拿到域管理员的权限。
zerologon漏洞分析
灰太的表格的博客
10-16 748
zerologon漏洞分析
利用ZeroLogon漏洞接管域控权限
Zlirving_的博客
02-25 1843
目录漏洞介绍实验环境实验开始进入域漏洞验证漏洞利用置空域控密码获取新凭据获取域控半交互式shell获取初始凭据(sam)还原域控密码 漏洞介绍 CVE-2020-14722 (又称ZeroLogon) 是一个windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client challenge)、IV等要素可控的情况下,存在较高概率使得产生
域渗透ZeroLogon(CVE-2020-1472)
Longwaer
01-28 2826
学习了解ZeroLogon漏洞的原理及利用方式,更快的掌握域内渗透的技巧,从而实现技能提升。
探秘蓝桥杯:中国青少年计算机能力挑战赛介绍
最新发布
06-23
蓝桥杯(The Blue Bridge Cup)是中国青少年中一项重要的计算机竞赛,旨在提高学生的计算机编程能力和解决问题的技能。本文将深入介绍蓝桥杯的背景、比赛形式、参与条件以及如何准备和参与比赛。
NET探秘:MSIL权威指南 PDF
03-12
NET探秘:MSIL权威指南 PDF 版本,可以好好学习。清晰的哦。
探秘RFID:详解村田MAGICSTRAP技术.pdf
09-06
近年来,可谓是无线通讯技术迅速崛起和发展的黄金时期。从RFID到NFC,日常生活的便捷需求直接为它们的技术诞生而"买单"。而RFID
XcodeGhost探秘:苹果栽在了源码病毒手里
03-23
一向以封闭安全著称的苹果iOS系统,这次终于因为XcodeGhost事件在中国栽了一个大跟头。要知道在这之前,苹果的AppStore中只发现过5款恶意应用,但这次的规模显然比以往发现的加起来还  一向以封闭安全著称的苹果iOS...
深入浅出Docker(二):Docker命令行探秘
02-21
Docker官方为了让用户快速了解Docker,提供了一个交互式教程,旨在帮助用户掌握Docker命令行的使用方法。但是由于Docker技术的快速发展,此交互式教程已经无法满足Docker用户的实际使用需求,所以让我们一起开始一次...
ADCS-CVE-2022-26923域内提权漏洞-域控
问题很多的小明
07-10 384
本文复现了ADCS域内漏洞CVE-2022-26923
CVE-2020-1472 ZeroLogon漏洞分析利用
mingyqf的博客
02-24 1380
CVE-2020-1472 ZeroLogon漏洞分析利用 暗影安全团队 2021-01-26 14:27:56 102316 0x01漏洞简介 CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,此漏洞是微软8月份发布安全公告披露的紧急漏洞,CVSS评分为10分。未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞,成功利用此漏洞的攻击者可获得域管理员权限。该漏洞由 Secura 公司的 Tom Tervoort 发现提交并命名为 Z
【权限提升】WIN系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE漏洞
今天是几号的博客
03-06 688
CVE-2020-1472是继MS17010之后好用的NetLogon特权域控提权漏洞,影响Windows Server 2008R2至Windows Server 2019的多个版本系统,只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞.该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为Windows.#WIN-域控提权-CVE-2022-26923。Kali添加访问域内信息 /etc/hosts。1、需要域用户账号密码。2、域内存在证书服务器。1、一个域内普通账号。
域控常见漏洞复现
叶子的Blog
06-02 2424
略 PC1 whoamianony.org 得到域控的ip和域控是谁 内网资产搜集 抓到了域管理员的hash 横向移动(at) 将本地的shellcode复制copy到域控机器的c盘下 通过at命令制定计划进行命令执行。注意事项 条件 账户不在域里面 换一个进程 成功! 利用WMI上线主机,并且正向连接内网生成监听器beacon-tcp 生成木马 拿下域控了 然后就可以访问了 使用exp将域控密码设置为空: 使用impacket包中的secretsdum.py来
Windows域控常见0day及利用漏洞汇集
Ms08067安全实验室
01-10 2605
本文对近几年出现的Windows域控相关漏洞及利用方法进行整理,方便检测存在的漏洞,目前来看主要集中在本地权限提升、打印机服务利用、exchange等。 1.1Kerberos 校验和漏洞MS14-068(CVE-2014-6324) Microsoft Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008...
ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(上)
systemino的博客
10-27 3716
本文将从攻防角度对CVE-2020-1472进行一个简单的介绍,并对如何检测和修复ZeroLogon提出具体建议。 什么是ZeroLogon? Netlogon远程协议(也称为MS-NRPC)是一个远程进程调用(RPC)接口,仅由连接到域的设备使用。 MS-NRPC包括身份验证方法和建立Netlogon安全通道的方法。这些更新强制指定的Netlogon客户端行为,以便在成员计算机和Active Directory (AD)域控制器(DC)之间使用带有Netlogon安全通道的安全RPC。 Zero..
"藏经阁探秘:Apache Spark的安全状态
"藏经阁"是一个专注于信息安全的技术团队,致力于提供高效的安全解决方案。他们致力于研究和开发新的安全技术,以保护客户的数据和隐私。"藏经阁"的团队成员都是资深的安全专家,他们拥有丰富的经验和深厚的技术功底...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋溪普Gale

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值