Netlogon 特权提升漏洞 CVE-2020-1472 复现

港控/mmm° 2022-11-05 05:22 214阅读 0赞

![format_png][]

Netlogon服务为[域控制器][Link 1]注册所有的srv资源记录。这些记录出现在[DNS服务器][DNS]的正向查询区域你的域名中的\_msdcs, \_sites, \_tcp, and \_udp等文件夹中。其他计算机利用这些记录查询域[活动目录][Link 2]相关的信息。

“网络登录”[系统服务][Link 3]维护计算机和域控制器之间的安全通道，对用户和服务进行[身份验证][Link 4]。它将用户的凭据传递给域控制器，然后返回用户的域[安全标识符][Link 5]和用户权限。这通常称为 pass-through 身份验证。“网络登录”被配置为仅在成员计算机或域控制器加入域时自动启动。在 Windows 2000 Server 系列和 Windows Server 2003 系列中，“网络登录”发布 DNS 中的服务资源定位器记录。当此服务运行时，它依赖“服务器”服务和“本地安全机构”服务来侦听传入的请求。在域成员计算机上，“网络登录”使用[命名管道][Link 6]上的 RPC。在[域控制器][Link 1]上，它使用命名管道上的 RPC、RPC over TCP/IP、邮筒以及[轻型目录访问协议][Link 7] (LDAP)。

--------------------

漏洞名称

NetLogon权限提升漏洞

漏洞编号

CVE-2020-1472

威胁等级

高危

漏洞简介

当攻击者使用Netlogon远程协议（MS-NRPC）建立与域控制器的易受攻击的Netlogon安全通道连接时，将存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络上的设备上运行特制的应用程序。要利用此漏洞，需要未经身份验证的攻击者使用MS-NRPC连接到域控制器以获得域管理员访问权限。

影响版本：

*  Windows Server 2008 R2 for x64-based Systems Service Pack 1
 *  Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
 *  Windows Server 2012
 *  Windows Server 2012 (Server Core installation)
 *  Windows Server 2012 R2
 *  Windows Server 2012 R2 (Server Core installation)
 *  Windows Server 2016
 *  Windows Server 2016 (Server Core installation)
 *  Windows Server 2019
 *  Windows Server 2019 (Server Core installation)
 *  Windows Server, version 1903 (Server Core installation)
 *  Windows Server, version 1909 (Server Core installation)
 *  Windows Server, version 2004 (Server Core installation)

--------------------

github 项目地址：

[https://github.com/dirkjanm/CVE-2020-1472][https_github.com_dirkjanm_CVE-2020-1472]

[https://github.com/SecureAuthCorp/impacket][https_github.com_SecureAuthCorp_impacket]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70][]

step 1：**使用前需要更新最新版本的**[impacket][https_github.com_SecureAuthCorp_impacket]，然后使用1-SecuraBV/zerologon\_tester.py 检测是否存在此漏洞

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 1][]

step 2：确认存在漏洞后，使用 3-dirkjanm/cve-2020-1472-exploit.py 脚本清空域控密码

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 2][]

step 3:获取HASH

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 3][]

step 4：获取SHELL

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 4][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 5][]

--------------------

微软解决方案：

*  微软官方已针对该漏洞发布了安全补丁，补丁程序下载链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
 *  DC上开启强制模式详细配置参考微软官方文档《如何管理与 CVE-2020-1472相关联的Netlogon安全频道连接中的更改》https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure- channel-connections-assoc

[format_png]: /images/20221023/52678a305c6e4d41a7b6eb1e4efef33e.png
[Link 1]: https://baike.baidu.com/item/%E5%9F%9F%E6%8E%A7%E5%88%B6%E5%99%A8
[DNS]: https://baike.baidu.com/item/DNS%E6%9C%8D%E5%8A%A1%E5%99%A8/8079460
[Link 2]: https://baike.baidu.com/item/%E6%B4%BB%E5%8A%A8%E7%9B%AE%E5%BD%95
[Link 3]: https://baike.baidu.com/item/%E7%B3%BB%E7%BB%9F%E6%9C%8D%E5%8A%A1
[Link 4]: https://baike.baidu.com/item/%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81
[Link 5]: https://baike.baidu.com/item/%E5%AE%89%E5%85%A8%E6%A0%87%E8%AF%86%E7%AC%A6
[Link 6]: https://baike.baidu.com/item/%E5%91%BD%E5%90%8D%E7%AE%A1%E9%81%93
[Link 7]: https://baike.baidu.com/item/%E8%BD%BB%E5%9E%8B%E7%9B%AE%E5%BD%95%E8%AE%BF%E9%97%AE%E5%8D%8F%E8%AE%AE
[https_github.com_dirkjanm_CVE-2020-1472]: https://github.com/dirkjanm/CVE-2020-1472
[https_github.com_SecureAuthCorp_impacket]: https://github.com/SecureAuthCorp/impacket
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70]: /images/20221023/7b353fb7ef12469c80ae836beda93ecb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 1]: /images/20221023/6a2c32559ad04332a2b21d5734f92ec2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 2]: /images/20221023/67b50bd11c354276b021c9183a79721c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 3]: /images/20221023/facbb96979214d8cabeb4f5ad73cfc59.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 4]: /images/20221023/513a6c623a454091a52e731ef4a5c4c1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dhb2ZlaTA0Mjg_size_16_color_FFFFFF_t_70 5]: /images/20221023/d5dab6ee5ca04d3e8571353e348193ba.png