CVE-2020-1472 Zero-Logon

  • Naykcin
  • 2 Minutes
  • September 19, 2020

CVE-2020-1472 Zero-Logon

Netlogon Privilege Escalation

Netlogon 用于用户和机器在域内的网络认证、复制数据库以及域控备份等功能。该协议身份认证采用了 Challenge-Response 机制,其中加密算法是 AES-CFB8 ,并且 IV 默认全零,导致了该漏洞的产生。又因为认证次数没有做限制,签名功能客户端默认可选,使得漏洞可被利用。

只要攻击者在内网环境中可以与域控建立 TCP 连接(即使攻击者不是域内的域成员),则能够通过 Netlogon 协议的缺陷将域控机器账户的密码重置为 0,接着则可以无密码登录而窃取域管账号的 Hash。

Exploit

Python3 需要安装 impacket 依赖。

重置域控机器账户

1

将域控机器账户,即 TEST-DC01 的密码重置为 0。要注意的是这里填的是主机名,即 hostname ,而不是域管的 username

无密码登录获取域管 Hash

2

由于机器账户的密码已经被置空,所以弹出的 PASSWORD 字段直接回车即可。由此窃取域管 hackin 的 Hash。

PTH 攻击连接域控

3

注意

在 Linux 机器上测试时注意 $ 等字符的转义。

Warning

请勿随意在生产环境进行测试,将域控机器账户重置可能会造成不可逆的后果。

🌍 参考