zerologon漏洞分析
windows上比较重量级别的一个漏洞。通过该漏洞,攻击者只需能够访问域控的445端口,在无需任何凭据的情况下能拿到域管的权限。
该漏洞的产生来源于Netlogon协议认证的加密模块存在缺陷(微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文、IV等要素可控的情况下,存在较高概率使得产生的密文为全零。),导致攻击者可以在没有凭证的情况情况下通过认证。
该漏洞的最稳定利用是调用netlogon中RPC函数NetrServerPasswordSet2来重置域控机器的机器用户的密码,从而以域控的身份进行Dcsync获取域管权限。从而接管整个域
DCSync:
在DCSync技术没有出现之前,我们想要dump服务器的hash,一般都要先入侵到目标服务器上,然后使用例如mimikizi的工具,对hash来dump,DCSync的最大特点,在于不用登陆域服务器,即可远程通过域数据同步复制的方式获得想要的用户口令信息。DCSync 就是通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口向域控发起数据同步请求。
DCSync利用条件:
获得以下任一用户的权限:
· Administrators组内的用户。
· Domain Admins组内的用户。
· Enterprise Admins组内的用户。
· 域控制器的计算机帐户(机器账户)
漏洞利用:
第一个参数为目标机器名,第二个为ip
工具地址: https://github.com/dirkjanm/CVE-2020-1472
上一步会把域控DC机器的机器用户的密码置为空,即hash为:
31d6cfe0d16ae931b73c59d7e0c089c0
接下来使用空密码就可以进行Dcsync(这里不可以直接登录的,因为机器用户是不可以登录的。但是域控的机器用户有Dcsync特权,我们就可以利用该特权来利用Dcsync进行hash读取,然后用读取的hash进行登录或者横向攻击)
下面的工具原理是模仿一个域控制器,从真实的域控制器中请求数据,例如用户的哈希。
利用机器用户及空密码获取域管administrator用户的hash:
proxychains4 secretsdump.py -no-pass de1ay.com/"DC$"@10.10.10.10 -history -just-dc-user administrator
工具地址:https://github.com/SecureAuthCorp/impacket
利用得到的域控用户administrator的账户密码,进行横向登录拿下域控:
拿下域控以后,我们要对我们重置的密码进行恢复,要不然会影响系统业务,这里可以用:
powershell Reset-ComputerMachinePassword
这是微软官方给的一种解决方案。