PrintNightMare(CVE-2021-34521)EXP程序相关研究

 周末想安心看看书,但铺天盖地的零日漏洞消息袭来,导致我的手很痒。    让我痒的会是一个多么严重的漏洞?    该漏洞中文名字叫打印恶梦,它几乎涵盖所有Windows系统版本,且现在微软还没有提供任何补丁,只给出关闭打印服务的建议。      微软给出关闭打印服务建议十分惊人,因为家用电脑或许可以关闭打印功能,办公电脑关闭打印功能有点不太现实。    看看漏洞实现机制,Windows系统的 Windows Print Spooler 服务没有限制对 RpcAddPrinterDriverEx() 函数的访问,这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的权限下进行的。用大白话讲是你连接共享打印机时,加载的打印驱动文件是没有进行权限验证,从而导致加载打印机驱动文件可以是病毒文件。    漏洞实战威力究竟如何?会不会可以仗剑走天涯?   好奇驱动我探究该漏洞利用方法,想节省些时间,用Metasploit看看有没有现成的漏洞利用工具,KALI系统升级MSF工具升级,耗费将近一个小时。 和估计的一样,目前MSF里还没有相关漏洞的工具。   微软发出警告攻击者正在肆意的攻击,漏洞利用方法不外漏,不会造成大规模攻击。苦逼地去老外网站找找漏洞利用资料,终于找到漏洞验证程序代码。 简单浏览一遍代码,没有进行过多的分析,只确认一下代码是安全的,自己不会被黑后进行程序编译。   编译遇到点问题,不过很快的解决了。成功生成溢出测试程序POC.exe,即PrintNightMare EXP程序,前后浪费不少时间,文章结尾处有编译好的程序下载地址,希望送给也对该漏洞好奇的同道人。 、    该漏洞给我们带来的风险还是很大的,但究竟威力有多大取决于利用该漏洞的病毒有多强。比如勒索病毒、勒索病毒与永恒之蓝等其它漏洞的复合型病毒,这类病毒可能会导致灾难性后果。    对于该漏洞防范,大家必须尊重执行信息中心构建的防护措施。目前大家也应做到避免乱上网下载、乱打开、乱拷贝,齐心协力避免病毒进入企业内网。还是那句工作优先可以理解,但不管不顾不负责的行为不出事还好,出了事~想哭也找不到谱。   微软早已对Win 7系统停止技术支持服务,所以Win10可等到系统补丁,Win7未必能等得到! 换种角度看漏洞的出现,漏洞对于大的厂商来说未必是一件坏事,反而可能是好事,推动大家使用新版系统、新的安全产品、新的硬件。    如果病毒横行起来,比特币会火一波~    去年说过不在进行此类研究,没能忍住,唉~ 现在感觉很饿,该去吃饭了。 下载地址:https://www.pinpinxi.com/PrintNightmare-main.rar ...
阅读更多