- 综合排序
- 最热优先
- 最新优先
- 来自专栏鸿鹄实验室
Netlogon(CVE-2020-1472)讲解及复现
攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。 脆弱性细节 的Netlogon协议 Netlogon Remote Protocol是一个在Windows域控制器 上可用的RPC接口。 计算Netlogon凭据函数只需要转换 8个字节,它使用了相当模糊的函数。 这变得有问题,因为Netlogon的传输加密机制(“RPC签 名和密封”)使用了这一点 关键但与弱势群体完全不同的方案 计算Netlogon凭据函数。 利用步骤4:更改计算机的AD密码 因此,现在我们可以像任何计算机一样发送Netlogon电 话,我们该怎么办?
3.4K11发布于 2021-03-31 - 来自专栏Bypass
微软NetLogon特权提升漏洞复现(CVE-2020-1472)
2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。
63920发布于 2021-03-04 - 来自专栏漏斗社区
Windows NetLogon权限提升漏洞(CVE-2019-1424) 复现
0x00 漏洞详情 2020年08月11日,微软MSRC官方发布了NetLogon特权提升漏洞的安全通告,该漏洞编号为 CVE-2020-1472,漏洞等级:严重, CVSS 评分:10.0。 NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。 漏洞成因 Netlogon协议身份认证采用了挑战-响应机制,其中加密算法是AES-CFB8,并且IV默认全零,导致了该漏洞产生。又因为认证次数没做限制,签名功能客户端默认可选,使得漏洞顺利被利用。 DNS,设置域名为douge.com,NetBIOS域名按默认即可(由于不能上传git图,因此这里仅截图安装后的截图): 微信图片_20200924115823.png e.安装完成后查看任务管理器,确保Netlogon 10.10.14.122 1600768394010.png 4、使用secretsdump.py脚本可以获取域控器上的所有用户的hash值(导致可以获取账户数据库的hash是因为在攻击主机和域控建立Netlogon
2.2K62发布于 2020-09-24 - 来自专栏绿盟科技安全情报
【漏洞通告】Netlogon 特权提升漏洞(CVE-2020-1472)处置手册
通告编号:NS-2020-0053 2020-09-15 TAG:Netlogon 、CVE-2020-1472、EXP已公开 漏洞危害:攻击者利用此漏洞,可获取域控制器的管理员权限。 版本:1.0 1 漏洞概述 近日,绿盟科技监测到国外安全公司Secura公开了NetLogon特权提升漏洞(CVE-2020-1472)的详细信息与验证脚本,导致漏洞风险骤然提升。 攻击者需在与目标相同的局域网(LAN)上的计算机进行利用,未经身份验证的攻击者通过NetLogon远程协议(MS-NRPC)建立与域控制器连接的 安全通道时,可利用此漏洞获取域管理员访问权限。 Netlogon是Windows中用于为域控制器注册所有SRV资源记录的服务。 4.2 其他防护措施 在安装更新补丁后,还可通过部署域控制器 (DC) 强制模式以免受到该漏洞影响: 请参考官方文档进行配置《如何管理与 CVE-2020-1472 相关的 Netlogon 安全通道连接的更改
1.3K20发布于 2020-09-23 - 来自专栏漏洞知识库
NetLogon 域内提权漏洞(CVE-2020-1472)复现过程
简介 CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。
5.5K20发布于 2021-01-26 - 来自专栏Cyber Security
【内网安全】横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝
-6324 漏洞利用 https://blog.csdn.net/weixin_53009585/article/details/129788657 横向移动-域控提权-CVE-2020-1472(NetLogon ) 漏洞背景 未经身份验证的攻击者只需要能访问域控的135端口即可通过NetLogon远程协议连接域控并重置域控机器账户的hash,从而导致攻击者可以利用域控的机器账户导出域内所有用户的Hash(域控的机器账户默认具有 DCSync权限),进而接管整个域 漏洞原理 NetLogon协议认证的加密模块存在缺陷,导致攻击者可以在没有凭据的情况下通过认证。 通过认证后,调用NetLogon协议中RPC函数NetrServerpasswordSet2来重置域控机器账户的Hash,进而接管全域 影响版本 Windows Server 2008 R2 for
51310编辑于 2024-07-18 - 来自专栏Cyber Security
【权限提升】WIN系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE漏洞
WIN系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE漏洞 WIN-域控提权-CVE-2014-6324 WIN-域控提权-CVE-2020-1472 WIN-域控提权-CVE-2021 OWA2010CN-God.god.org cmd CVE-2014-6324配合mimikatz拿域控主机权限 WIN-域控提权-CVE-2020-1472 CVE-2020-1472是继MS17010之后好用的NetLogon
35610编辑于 2024-07-18 - 来自专栏湛卢工作室
ZeroLogon(CVE-2020-1472) 分析与狩猎
攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。 但在Netlogon RPC中,作为ComputeNetlogonCredential检查的一部分,IV被错误的设置为0。 由于攻击者需要通过netlogon RPC协议进行多次尝试,还会产生event ID 5805: ? 连接: 允许存在漏洞的Netlogon安全通道连接时,将生成event ID 5829 拒绝易受攻击的Netlogon连接时,将触发event ID 5827和5828 允许存在漏洞的Netlogon连接时触发的 所以网络中将会有大量的netlogon协议信息: ?
3.7K50发布于 2020-10-23 - 来自专栏FreeBuf
CVE-2020-1472漏洞分析
Netlogon 特权提升漏洞(CVE-2020-1472) 简要: NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。 微软MSRC于8月11日 发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472, CVSS 评分:10.0。 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。 漏洞原理: Netlogon远程协议特别是可以更新域中的密码。RPC接口通过TCP动态端口分配域控制器的端口映射服务,或者通过SMB端口445。 Netlogon协议使用的是自定义的加密协议来让客户端(加入域的计算机)和服务器(域控制器)向对方证明加密,此共享加密是客户端计算机的HASH账户密码。
2.2K10发布于 2020-09-22 - 来自专栏Gamma安全实验室
CVE-2020-1472-poc-exp
从攻击者的角度来看,所需要做的只是连接到域控制器” 漏洞背景 Secura的安全专家Tom Tervoort以前曾在去年发现一个不太严重的Netlogon漏洞,该漏洞使工作站可以被接管,但攻击者需要一个中间人 通过伪造用于特定Netlogon功能的身份验证令牌,他能够调用一个功能以将域控制器的计算机密码设置为已知值。之后,攻击者可以使用此新密码来控制域控制器并窃取域管理员的凭据。 该漏洞源于Netlogon远程协议所使用的加密身份验证方案中的一个缺陷,该缺陷可用于更新计算机密码。此缺陷使攻击者可以模拟任何计算机,包括域控制器本身,并代表他们执行远程过程调用。 漏洞简介 NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系 当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。
1.4K10发布于 2020-12-23 - 来自专栏Ms08067安全实验室
实战CVE-2015-0005
这个NETLOGON安全会话本身的共享密钥则基于应用服务器主机账号的口令NTLM值生成,或者更简单的理解为NTLM值本身,实际上是基于NTLM值经过固定的算法获得。 应用服务器和认证服务器均事先存储有应用服务器主机账号的口令NTLM值,因此应用服务器与域服务器之间的NETLOGON并不需要交互应用服务器主机账号的口令NTLM值。 的会话密钥,创建一个NETLOGON安全会话。 : NETLOGON_VALIDATION_SAM_INFO NETLOGON_VALIDATION_SAM_INFO2 NETLOGON_VALIDATION_SAM_INFO4 在这个结构中有一个重要的数据 NETLOGON_VALIDATION_SAM_INFO结构的微软官方定义如下: typedef struct _NETLOGON_VALIDATION_SAM_INFO4 { …
31710编辑于 2024-01-18 - 来自专栏Khan安全团队
CVE-2020-1472
0x00 CVE-2020-1472复现 NetLogon 特权提升漏洞 NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份 当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。
65540发布于 2020-09-18 - 来自专栏黑白天安全团队
域提权漏洞系列分析-Zerologon漏洞分析
每当有登录请求、域同步请求以及收到将 BDC(备份域控制器)升级为 PDC(主域控制器)的请求时,Netlogon 服务负责系统之间的通信。 Netlogon 服务在为登录请求提供服务时执行许多任务,例如: 选择登录认证的目标域 识别目标域中的域控制器进行认证 在底座和目标系统之间的 Netlogon 服务中创建通信安全通道 将身份验证请求传递给已识别的域控制器 漏洞点二:错误设置CFB8模式 建立安全通道时,需要使用ComputeNetlogonCredential函数对客户端的Netlogon凭据输入client challenge和服务器的Netlogon 图6- 进行了Dcsync 检测 通过AD系统审计日志进行检测 在8月份的补丁中,Microsoft添加了五个新的event ID,以通知易受攻击的Netlogon连接: 1.允许存在漏洞的Netlogon 安全通道连接时,将生成event ID 5829 2.拒绝易受攻击的Netlogon连接时,将触发event ID 5827和5828 3.允许存在漏洞的Netlogon连接时触发的event ID 5830
3.3K30编辑于 2023-01-16 - 来自专栏全栈程序员必看
域渗透之Zerologon域提权漏洞
域渗透之Zerologon域提权漏洞 组件概述 Netlogon远程协议是一个远程过程调用(RPC)接口,用于基于域的网络上的用户和计算机身份验证。 Netlogon远程协议RPC接口还用于为备份域控制器(BDC)复制数据库。 Netlogon远程协议用于维护从域成员到域控制器(DC),域的DC之间以及跨域的DC之间的域关系。 漏洞概述 该漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。 192.168.159.149 ce7b34c0f2c72d6cb03123ef5ff741ca 机器名可通过nslookup 或nbtscan等netbios扫描获取 参考 CVE-2020-1472 Netlogon
1K00编辑于 2022-07-13 - 来自专栏Khan安全团队
域控制器
代码的执行将强制域控制器的机器帐户向攻击者控制的系统请求“ NETLOGON ”共享。这项工作基于Lionel Gilles 的一项发现,该发现在巴黎的一次当地聚会上公开披露。 try: request = IsPathShadowCopied() # only NETLOGON and SYSVOL were detected working here FSRVP_E_OBJECT_NOT_FOUND) or 0x8004230c (FSRVP_E_NOT_SUPPORTED) request['ShareName'] = '\\\\%s\\NETLOGON try: request = IsPathSupported() # only NETLOGON and SYSVOL were detected working here FSRVP_E_OBJECT_NOT_FOUND) or 0x8004230c (FSRVP_E_NOT_SUPPORTED) request['ShareName'] = '\\\\%s\\NETLOGON
1.5K00编辑于 2022-01-12 - 来自专栏资讯类翻译专栏
细致管理不严的风险和后果
Netlogon漏洞,微软在8月份发布了一个补丁,可能让攻击者接管受害者网络上的域控制器 CISA给公共部门的IT部门一个周末——直到9月21日午夜——安装补丁,删除无法修补的域控制器,并实施技术和管理控制 私营公司可能被迫修补Windows Netlogon漏洞。 Stealthbits Technologies的安全研究员Joe Dibley告诉TechNewsWorld,微软将于2021年2月9日开始实施新的设置,以提高Netlogon远程协议的安全性。 The Netlogon vulnerability, for which Microsoft issued a patch in August could let attackers take over Private companies may be forced to patch the Windows Netlogon flaw.
69120发布于 2020-12-18 - 来自专栏Khan安全团队
通过挂钩 LSASS 中的函数来提取本地哈希
我设法在多个网站上找到它,所以这里是: BOOLEAN __stdcall MsvpPasswordValidate ( BOOLEAN UasCompatibilityRequired, NETLOGON_LOGON_INFO_CLASS #include "pch.h" #include "hppdll.h" BOOLEAN HookMSVPPValidate(BOOLEAN UasCompatibilityRequired, NETLOGON_LOGON_INFO_CLASS ; // cast LogonInformation to NETLOGON_LOGON_IDENTITY_INFO pointer NETLOGON_LOGON_IDENTITY_INFO* logonIdentity = (NETLOGON_LOGON_IDENTITY_INFO*)LogonInformation; // write to C:\credentials.txt the domain, username 为此,我们首先将第三个参数 ,LogonIdentity转换为指向NETLOGON_LOGON_IDENTITY_INFO结构的指针。
1.6K60编辑于 2022-03-28 - 来自专栏黑伞安全
CVE-2020-1472复现指北
简介 2020年8月11号,微软修复了Netlogon 特权提升漏洞,当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞 而2020年9月15日,secura发布了漏洞细节,之后相关的EXP也就被构造出来,漏洞原理 Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,同时其设置域控密码的远程接口也使用了该函数
2.3K148发布于 2020-09-18 - 来自专栏小陈运维
在Ubuntu中安装Samba文件服务
The script must be stored # in the [netlogon] share # NOTE: Must be store in 'DOS' file format convention using external authentication schemes valid users = %S # Un-comment the following and create the netlogon ;[netlogon] ; comment = Network Logon Service ; path = /home/samba/netlogon ; guest ok = yes ;
1.6K20编辑于 2022-12-20 - 来自专栏安恒信息
安恒紧急漏洞预警: Samba全系版本存在远程命令执行漏洞
近日Samba被发现存在远程命令执行漏洞,漏洞编号:CVE-2015-0240,可以允许一个恶意的Samba客户端发送一个特定的netlogon数据包给smbd获得smbd运行的权限,而smbd的默认权限是 samba/security/ 如果暂时因为开发需要、变更配置管理等原因而不便安装补丁,安恒信息提供临时降低风险的方案如下:在/etc/samba/smb.conf里增加: rpc_server:netlogon
1.5K80发布于 2018-04-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号