CVE-2019-1040 NTLM MIC 绕过漏洞

最新推荐文章于 2024-06-07 09:50:21 发布
最新推荐文章于 2024-06-07 09:50:21 发布
阅读量463 收藏 1
点赞数
文章标签: web安全 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pfourfire/article/details/132220074
版权

漏洞背景

2019年6月11日,微软发布6月份安全补丁更新。在该安全补丁更新中,对 CVE-2019-1040 漏洞进行了修复。该漏洞存在于Windwos
大部分版本中,当中间人攻击者能够成功绕过NTLM 消息完整性校验(MIC)时,Windows 存在可能可篡改的漏洞。成功利用此漏洞的攻击者可以获得降级
NTLM 安全功能的能力。要利用此漏洞,攻击者需要篡改NTLM 交换,然后修改NTLM
数据包的标志,而不会使签名无效。结合其他漏洞和机制,在某些场景下,攻击者可以在仅有一个普通账户域账户的情况下接管全域。

漏洞原理

该漏洞关键之处在于安全研究员能绕过NTLM消息完整性的校验,那么安全研究员是如何实现的呢?

由于Windwos 服务器允许无消息完整性校验的NTLM Authenticate 消息,因此该漏洞绕过消息完整性校验的思路是取消数据包中的 MIC
标志,操作如下:* 从NTLM Authenticate消息中删除MIC字段和Version字段,如图所示:

图片.png* 将 Negotiate Version 标志位设置为Not set,如图所示:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n1KmQX1z-1691677444656)(https://image.3001.net/images/20230605/1685975711_647df29ff24502e610668.png!small)]

漏洞完整利用链

绕过NTLM的消息完整性校验只是第一步,之后能做什么呢?

漏洞完整利用链需要结合NTLM Relay。完整的攻击链如下:

1)使用域内任意有效账户,通过SMB连接到目标机器,使用Print Spooler 漏洞或者PetitPotam漏洞强制触发目标机器向指定的机器进行NTLM
认证;

2)中继服务器收到目标机器的NTLM 认证流量后,通过删除相应的字段绕过NTLM 的完整性校验并修改NTLM 数据包的标志位使得其从SMB协议中继到LDAP
不需要签名;

3)使用中继的LDAP流量,通过LDAP远程连接域控,执行高权限操作,赋予指定的账户高权限;

4)使用提升了权限的账户进行“后利用”,接管全域。

1、触发目标NTLM请求

攻击者需要向目标机器发起NTLM请求才能进行NTLM Relay利用,这里可以利用使用Print Spooler
漏洞或者PetitPotam漏洞强制触发目标机器向指定的机器进行NTLM 认证;详情见内网渗透(六十二)之 NTLM Realy
攻击

2、LDAP 签名绕过

由于通过Print Spooler 漏洞和PetitPotam漏洞触发的NTLM 认证都是基于SMB协议的,因此安全研究员需要将SMB
协议的身份验证流量通

最低0.47元/天 解锁文章
姑老爷呀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内网渗透(八十二)之 CVE-2019-1040 NTLM MIC 绕过漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-24 1033
2019年6月11日,微软发布6月份安全补丁更新。在该安全补丁更新中,对 CVE-2019-1040 漏洞进行了修复。该漏洞存在于Windwos 大部分版本中,当中间人攻击者能够成功绕过NTLM 消息完整性校验(MIC)时,Windows 存在可能可篡改的漏洞。成功利用此漏洞的攻击者可以获得降级 NTLM 安全功能的能力。要利用此漏洞,攻击者需要篡改NTLM 交换,然后修改NTLM 数据包的标志,而不会使签名无效。结合其他漏洞和机制,在某些场景下,攻击者可以在仅有一个普通账户域账户的情况下接管全域。
CVE-2019-1040 原理及复现
weixin_44747030的博客
10-07 2001
CVE-2019-1040漏洞复现
内网大杀器利用:CVE-2019-1040漏洞
systemino的博客
06-16 8487
概述 微软官方在6月补丁日中,发布了一枚重磅漏洞CVE-2019-1040安全补丁。该漏洞存在于Windows大部分版本中,攻击者可以利用该漏洞绕过NTLM MIC的防护机制,结合其他漏洞和机制,某些场景下可以导致域内的普通用户直接获取对于域控服务器的控制。 近日,对于此漏洞的利用细节被安全研究人员公布出来,利用此漏洞获取内网的控制变得非常可行,看他堪称内网大杀器,形成现实的巨大...
探索网络安全新境界:CVE-2019-1040 工具
gitblog_00032的博客
05-26 384
探索网络安全新境界:CVE-2019-1040 工具 项目地址:https://gitcode.com/Ridter/CVE-2019-1040 在信息安全的世界中,漏洞利用是一种独特且强大的技能,而今天我们将介绍的开源项目正是这个领域的佼佼者 —— CVE-2019-1040。这个工具是针对2019年发现的一个重大安全漏洞的有效利用方法,它简化了对Exchange服务器的攻击,并可能进一步获得域...
探索网络安全的新境界:CVE-2019-1040扫描器使用指南
最新发布
gitblog_00053的博客
06-07 303
探索网络安全的新境界:CVE-2019-1040扫描器使用指南 项目地址:https://gitcode.com/fox-it/cve-2019-1040-scanner 在这个数字化时代,网络安全是不容忽视的要塞。面对日益复杂的威胁环境,开发者和安全研究人员携手打造了一系列强大的工具,以应对各种潜在的漏洞。其中,一款基于Impacket库的开源工具——CVE-2019-1040 Scanner,...
CVE-2019-2114漏洞
systemino的博客
11-04 425
背景 Android安卓是Google为手机和移动设备开发的开源操作系统。据统计,全球有超过20亿设备运行安卓操作系统。大多数的安卓设备都受限于必须从Google play应用商店下载应用程序。在安卓 8之前,通过在系统设置中进行设置既可授予APP从其他源安装应用的能力。在安卓8中,这一机制被修改了,用户必须授予每个想要执行安装的应用程序对应的权限。如下所示: 一些安卓设备支持近场通信(N...
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
"蠕虫级"的高危远程漏洞CVE-2019-0708工具一个直接不重启修补一个检测.zip
05-24
与黑客争分夺秒,亲测可用RDP远程漏洞热补丁工具,官网正品资源
CVE-2019-1040:带有交换的CVE-2019-1040
05-24
CVE-2019-1040 很棒的文章! 。 因此,我编写了CVE-2019-1040.py以便于使用。 您还可以查看我的exchange2domain存储库: : ,这是使用Exchange获取DC的另一种方法。 要求 这些工具需要。 您可以使用pip install impacket从pip安装它。 用法 usage: CVE-2019-1040.py [-h] [-u USERNAME] [-d DOMAIN] [-p PASSWORD] [--hashes HASHES] [--smb-port [destination port]] -ah ATTACKER_HOST [-ap ATTACKER_PORT] -th TARGET_HOST
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述版本8.4.0之前的Jira中的/ ...
CVE-2019-1040漏洞分析学习
whojoe的博客
08-13 1322
CVE-2019-1040漏洞分析学习前言分析参考文章 前言 前面写到在PetitPotam漏洞复现时可以结合CVE-2019-1040进行利用,绕过ntlm认证的mic校验。 而且无法通过中继自己的smb到自己的ldap,这是由于ldap需要协商签名,域控默认开启smb签名,并且存在mic防止篡改,如果绕过mic的校验就可以使smb中继到ldap进行利用,当然如果是http或者webadv的 不要求签名,可以参考。 当然还有一个问题就是无法使用自己的smb中继到自己的ldap,由于微软修复了ms08-06
结合CVE-2019-1040漏洞的两种域提权利用深度分析
systemino的博客
07-03 4058
0x00 漏洞概述 2019年6月,Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞,攻击者可以通过中间人攻击,绕过NTLM MIC(消息完整性检查)保护,将身份验证流量中继到目标服务器。PHP大马 通过这种攻击使得攻击者在仅有一个普通域账号的情况下可以远程控制 Windows 域内的任何机器,包括域控服务器。 0x01 漏洞利...
WebLogic 反序列化0day漏洞CVE-2019-2725补丁绕过)预警
systemino的博客
06-16 1851
0x00 事件背景 2019年06月15日,360CERT监测到在野的Oracle Weblogic远程反序列化命令执行漏洞,该漏洞绕过了最新的Weblogic补丁(CVE-2019-2725),攻击者可以发送精心构造的恶意HTTP请求,在未授权的情况下远程执行命令。目前官方补丁未发布,漏洞细节未公开。360CERT经研判后判定该漏洞综合评级为“高危”,强烈建议受影响的用户尽快根据临时...
portal认证_CVE-2019-1040:Windows NTLM认证漏洞预警分析
weixin_39626586的博客
12-05 309
0x00 漏洞描述2019年6月12日,微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040安全补丁,攻击者可以利用该漏洞绕过NTLM MIC(消息完整性检查)。攻击者可以修改NTLM身份验证流程中的签名要求,完全删除签名验证,并尝试中继到目标服务器,不强制执行签名的服务器都易受到攻击。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值