logon是什么意思on在线翻译读音例句

域渗透系列--那些⼀键打域控的漏洞之ZeroLogon

0x01漏洞描述

Zerologon，编号为CVE-2020-1472，是Netlogon远程协议(MS-NRPC)中的⼀个⾝份验证绕过漏洞。Netlogon是⼀个远程过程调⽤

(RPC)接⼝，Windows使⽤它来对基于域的⽹络上的⽤户和计算机进⾏⾝份验证，例如维护域成员与域控制器(DC)之间的关系，跨⼀个或多

个域的多域控制器之间的关系以及复制域控制器数据库。Netlogon的功能之⼀是允许计算机对域控制器进⾏⾝份验证并更新它们在Active

Directory中的密码，由于这个特殊功能导致Zerologon漏洞，该漏洞允许攻击者冒充任何计算机到域控制器并更改其密码，包括域控制器本⾝

的密码。导致攻击者获得管理访问权限并完全控制域控制器，从⽽完全控制⽹络。

0x02漏洞原理

NetLo长信怨 gon通信过程

客户端向NetLogon服务器（如windows域控）发送⼋个随机字节（ClientChallenge，简称CC），服务端⽤⾃⼰的⼋个随机字节

（ServerChallenge，简称SC）作为回复，双⽅将两个随机字符串和⼀个共享秘钥合在⼀起，⽣成⼀个⼀次性的加密密钥，称为

SessionKey(SK)。在客户端中存储在注册表上，在域控制器上存储在ActiveDirectory。SessionKey是被HMAC-SHA256通过摘要算法⽣成

的，伪代码如下：

hstring=CC..SC//合并Challenge⽣成的16位字节码

secret=GetSecretPassword()

hkey=MD4(secret)

hashval=HMAC_SHA256(hkey,hstring)

SessionKey=substr(hashval,1,16)

这种会话密钥设置避免在加密Netlogon流量时直接使⽤secretkey，并确保每个会话都有唯⼀的密钥，双⽅都将⾃⼰的随机字节注⼊其中，服

务器可以通过接受加密的函数调⽤来假设客户端知道真实的密码，如果客户端使⽤伪造的密码，请求将⽆法正确解密导致失败。

NetLogon中的AES-128-CFB8加密

CFB8每次只使⽤密钥的第⼀个字节并将其与⼀个明⽂字节进⾏异或。然后砍掉刚刚使⽤的密钥流字节，并在密钥流的末尾添加新的密⽂字节，通

过⼀个完整的数据块来加密以⽣成下⼀个密钥流字节

如果客户端和服务器之间协商了AES算法，Netlogon凭据是使⽤AES-128加密计算的，具有零初始化向量的8位CFB模式下的算法如下：

ComputeNetlogonCredential（in十大不吉利花 put，SessionKey，output）

SETIV=0

CALLAesEncrypt(input、SessionKey、IV、output)

CFB8模式下的全零IV存在安全性问题，因为AES是⼀种没有统计偏差的⾼质量密码，输⼊任何使⽤密钥加密的字符，输出中的每个位为0或1

的概率都为50%，所以8个输出位全为零的⼏率为1/2的⼋次⽅，即1/256。所以也就意味着有1/256的概率输出可以锁定为全0的状态。通过

提交⼀个全0的ClientChallenge，然后再提交⼀个全0的Netlogon凭据计算，即使不知道sessionkey也摸鱼儿雁丘词原文及翻译 可以在1/256的时间内得到正确的计算

结果，因为始终是琵琶行歌曲 在对0进⾏加密。

0x03漏洞利⽤

-MKURK02ECFG172.20.10.12

执⾏成功之后会把域控机器账号密码置空，重置成功后刘禹锡《浪淘沙》其七诵读 的hash为31d6cfe0d16ae931b73c高阳公主 59d7e0c089c0，再利⽤impacketsecretsdump

脚本读取域控的hash。

/\'WIN-MKURK02ECFG$\'@

拿到administrator的hash进⾏pth横向移动到域控，也可以通过krbtgtaes256制作黄⾦菩萨蛮黄鹤楼诗词赏析 票据。

/administrator@172.20.10.12-hashes:579da618cfbfa85247acf1f800a280a4

利⽤完成后需要还原账户的密码，如果不这样做的话会导致机器脱域的问题，还可能由于设置了域同步复制导致业务不可⽤等问题，后果⽐较严

重。

查询administrat漠漠水田飞白鹭是什么季节 or16进制明⽂密码

-hashes:/administrator@172.20.10.12

利⽤restorepassword脚本还原域控机器账号密码

-MKURK02ECFG@WIN-MKURK02ECFG-target-ip172.20.10.12-hexpassXXXXXXX

也可以利⽤mimikatz⼀步到位：

zerologon检测

zerologon利⽤

提取administrator账号hash

还原密码

0x04攻击检测

zerologon攻击利⽤后会产⽣EVENTID4742⽇志，通过“ANONYMOUSLOGON”对应的⽬标账号如果是机器账号则很⼤程度上判断机器遭

到了攻击且攻击已经成功发⽣。