這幾天出現了這個漏洞,關注了一下,發現影響還是蠻大的,所以這里學習記錄一下.
漏洞復現
根據寬字節師傅的測試結論可知
https://mp.weixin.qq.com/s/V0acZgnqXS4NYAVdO2m3Cg

因為環境原因未能復現,詳情見寬字節師傅的文章...
本地提權測試
git clone https://github.com/hlldz/CVE-2021-1675-LPE.git
該項目有兩個,一個是exe版本,一個則是將其編譯成dll的形式方便在C2中用於dll反射型加載


需要注意的是我們加載的這個必須是x64的,因為此漏洞的原理是跟打印機的那個進程有關,當然可能跟我這個是win10有關




可以看到我們是通過spoolsv.exe這個來加載我們的Dll的

通過這種方式獲取的權限是極大的(SYSTEM權限)
當然我這里面只是簡單的用CS生成的一個DLL,具體其他的話你可以自己根據需求來整
關於如何集成到C2中
github上已經有大佬們寫好了這類工具
https://github.com/cube0x0/CVE-2021-1675
咱就順便做個CS的集成吧


支持.net3.5 和4.5
dll需要自己落地

值得一提的是拿到System的Beacon后盡早做進程遷移,感覺可能是spoolsv.exe的問題會很快掉線
剩下的是關於遠程Rce的(域內環境),因為這里面沒有環境就簡單的集成到了CS中,可能有很多的Bug.
