CVE-2020-1472

0x01 漏洞簡述

2020年08月12日， 360CERT監測發現Windows官方 釋出了 NetLogon 特權提升漏洞 的風險通告，該漏洞編號為 CVE-2020-1472，漏洞等級：嚴重，漏洞評分：10分。

攻擊者通過NetLogon（MS-NRPC），建立與域控間易受攻擊的安全通道時，可利用此漏洞獲取域管訪問許可權。成功利用此漏洞的攻擊者可以在該網路中的裝置上執行經特殊設計的應用程式。

對此，360CERT建議廣大使用者及時為各Windows Server作業系統安裝最新相關補丁。與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。

0x02 影響版本

• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)
• Windows Server, version 2004 (Server Core installation)

0x03 環境搭建

2008 r2 域環境準備：

nbtstat -n 用於檢視 netbiso name
hostname 用於檢視主機名稱

在域內主機上執行指令碼：

python CVE-2020-1472.py WIN-10TFSHRT5I7 WIN-10TFSHRT5I7$ 192.168.222.138
//python CVE-2020-1472. py 域控nbios名 域控主機名$ 域控IP

現在開啟火絨

可以看到火絨成功的防禦住了來自192.168.222.135的cve-2020-1472攻擊。