搜索

[29049] 2021-07-03_【漏洞验证】我同情假脱机:检测PrintNightmareCVE-2021-34527

文档创建者:s7ckTeam
浏览次数:2
最后更新:2025-01-19
2021-07-03_【漏洞验证】我同情假脱机:检测PrintNightmareCVE-2021-34527   P r i n t N i g h t m a r e   C V E - 2 0 2 1 - 3 4 5 2 7 O t s   2 0 2 1 - 0 7 - 0 3 O t s 6     2 1   M i c r o s o f t   (   C V E - 2 0 2 1 - 1 6 7 5   ) 6     2 9   P r i n t N i g h t m a r e   W i n d o w s     7     1     C V E C V E - 2 0 2 1 - 3 4 5 2 7   W i n d o w s     P r i n t   S p o o l e r   使     访   A c t i v e   D i r e c t o r y     M e t e r p r e t e r   s h e l l S p l u n k   使   W i n d o w s S p l u n k   W i n H o s t M o n   W i n H o s t M o n     P r i n t   S p o o l e r   # # # # # # #   # # # # # # # [ W i n H o s t M o n : / / S e r v i c e ] i n t e r v a l   =   6 0 0 d i s a b l e d   =   0 t y p e   =   S e r v i c e i n d e x = < y o u r   i n d e x >   s o u r c e t y p e = W i n H o s t M o n   s o u r c e = s e r v i c e   D i s p l a y N a m e = " P r i n t   S p o o l e r "   |   s t a t s   v a l u e s ( D i s p l a y N a m e )   a s   D i s p _ N a m e , v a l u e s ( S t a r t M o d e )   a s   S t a r t _ m o d e , v a l u e s ( S t a r t e d )   a s   S t a r t e d , v a l u e s ( S t a t e )   a s   S t a t e   b y   h o s t
  C V E - 2 0 2 1 - 3 4 5 2 7     P O C     3   X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - P r i n t S e r v i c e / A d m i n W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - P r i n t S e r v i c e / O p e r a t i o n a l   使 a t t a c k _ d a t a     S p l u n k   i n p u t . c o n f   使 P r i n t N i g h t m a r e   S p l u n k     P r i n t N i g h t m a r e   C V E - 2 0 2 1 - 3 4 5 2 7     ( S O C )       S P L     C I M   G i t H u b S p l u n k b a s e S p l u n k   S p o o l s v     R u n d l l 3 2 使   r u n d l l 3 2 . e x e     S p o o l s v [ W i n E v e n t L o g : / / M i c r o s o f t - W i n d o w s - P r i n t S e r v i c e / O p e r a t i o n a l ] d i s a b l e d   =   0 s t a r t _ f r o m   =   o l d e s t c u r r e n t _ o n l y   =   0 c h e c k p o i n t I n t e r v a l   =   5 r e n d e r X m l = f a l s e i n d e x   =   w i n [ W i n E v e n t L o g : / / M i c r o s o f t - W i n d o w s - P r i n t S e r v i c e / A d m i n ] d i s a b l e d   =   0 s t a r t _ f r o m   =   o l d e s t c u r r e n t _ o n l y   =   0 c h e c k p o i n t I n t e r v a l   =   5 r e n d e r X m l = f a l s e i n d e x   =   w i n s o u r c e t y p e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l   O R   s o u r c e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l   E v e n t I D = 1   p a r e n t _ p r o c e s s _ n a m e = s p o o l s v . e x e   p r o c e s s _ n a m e = r u n d l l 3 2 . e x e       |   s t a t s   c o u n t   m i n ( _ t i m e )   a s   f i r s t T i m e   m a x ( _ t i m e )   a s   l a s t T i m e   b y   C o m p u t e r ,   U s e r ,       p a r e n t _ p r o c e s s _ n a m e ,   p r o c e s s _ n a m e ,   O r i g i n a l F i l e N a m e ,   p r o c e s s _ p a t h ,   C o m m a n d L i n e |   t s t a t s   c o u n t   m i n ( _ t i m e )   a s   f i r s t T i m e   m a x ( _ t i m e )   a s   l a s t T i m e   f r o m   d a t a m o d e l = E n d p o i n t . P r o c e s s e s   w h e r e P r o c e s s e s . p a r e n t _ p r o c e s s _ n a m e = s p o o l s v . e x e   P r o c e s s e s . p r o c e s s _ n a m e = r u n d l l 3 2 . e x e   b y   P r o c e s s e s . d e s t   P r o c e s s e s . u s e r   P r o c e s s e s . p a r e n t _ p r o c e s s   P r o c e s s e s . p r o c e s s _ n a m e   P r o c e s s e s p r o c e s s   P r o c e s s e s . p r o c e s s _ i d   P r o c e s s e s . p a r e n t _ p r o c e s s _ i d
S p o o l s v   访   S p o o l s v . e x e   访 访   S p o o l s v     C V E - 2 0 2 1 - 3 4 5 2 7   使   D L L     S p o o l s v . e x e   c o u n t I m g L o a d e d     3   3   u n i d r v . d l l k e r n e l b a s e . d l l     d l l   S p o o l s v . e x e     D L L   D L L     S p o o l s v . e x e   s o u r c e t y p e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l   O R   s o u r c e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l   E v e n t C o d e = 1 0   S o u r c e I m a g e   =   " * s p o o l s v . e x e "   C a l l T r a c e   =   " * W i n d o w s s y s t e m 3 2 s p o o l   D R I V E R S x 6 4 * "   T a r g e t I m a g e   I N   ( " * r u n d l l 3 2 . e x e " ,   " * s p o o l s v . e x e " )   G r a n t e d A c c e s s   =   0 x 1 f f f f f   |   s t a t s   c o u n t   m i n ( _ t i m e )   a s   f i r s t T i m e   m a x ( _ t i m e )   a s   l a s t T i m e   b y   C o m p u t e r   S o u r c e I m a g e     T a r g e t I m a g e   G r a n t e d A c c e s s   C a l l T r a c e   E v e n t C o d e s o u r c e t y p e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l   O R s o u r c e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l   E v e n t C o d e = 7   I m a g e   = " * s p o o l s v . e x e "   I m a g e L o a d e d = " * W i n d o w s S y s t e m 3 2 s p o o l d r i v e r s x 6 4 * " I m a g e L o a d e d   =   " * . d l l "   |   s t a t s   d c ( I m a g e L o a d e d )   a s   c o u n t I m g l o a d e d   v a l u e s ( I m a g e L o a d e d ) a s   I m g L o a d e d   c o u n t   m i n ( _ t i m e )   a s   f i r s t T i m e   m a x ( _ t i m e )   a s   l a s t T i m e   b y   I m a g e   C o m p u t e r E v e n t C o d e   |   w h e r e   c o u n t I m g l o a d e d   > =   3 s o u r c e t y p e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l   O R   s o u r c e = X m l W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - S y s m o n / O p e r a t i o n a l   E v e n t I D = 1 1   p r o c e s s _ n a m e = s p o o l s v . e x e   f i l e _ p a t h = " * s p o o l d r i v e r s x 6 4 * "   f i l e _ n a m e =   * . d l l   |   s t a t s   c o u n t   m i n ( _ t i m e )   a s   f i r s t T i m e   m a x ( _ t i m e )   a s   l a s t T i m e   b y     d e s t ,   U s e r I D ,   p r o c e s s _ n a m e ,   f i l e _ p a t h ,   f i l e _ n a m e ,   T a r g e t F i l e n a m e |   t s t a t s   c o u n t   F R O M   d a t a m o d e l = E n d p o i n t . P r o c e s s e s   w h e r e   P r o c e s s e s . p r o c e s s _ n a m e = s p o o l s v . e x e   b y   _ t i m e   P r o c e s s e s . p r o c e s s _ i d   P r o c e s s e s . p r o c e s s _ n a m e   P r o c e s s e s . d e s t   |   r e n a m e   " P r o c e s s e s . * "   a s   *   |   j o i n   p r o c e s s _ g u i d   _ t i m e           [ |   t s t a t s   c o u n t   m i n ( _ t i m e )   a s   f i r s t T i m e   m a x ( _ t i m e )   a s   l a s t T i m e   F R O M   d a t a m o d e l = E n d p o i n t . F i l e s y s t e m   w h e r e F i l e s y s t e m . f i l e _ p a t h = " * s p o o l d r i v e r s x 6 4 * "   F i l e s y s t e m . f i l e _ n a m e = " * . d l l "   b y   _ t i m e   F i l e s y s t e m . d e s t   F i l e s y s t e m . f i l e _ c r e a t e _ t i m e   F i l e s y s t e m . f i l e _ n a m e   F i l e s y s t e m . f i l e _ p a t h           |   r e n a m e   " F i l e s y s t e m . * "   a s   *           |   f i e l d s   _ t i m e   d e s t   f i l e _ c r e a t e _ t i m e   f i l e _ n a m e   f i l e _ p a t h   p r o c e s s _ n a m e   p r o c e s s _ p a t h   p r o c e s s ]  
        |   f i e l d s   _ t i m e   d e s t   f i l e _ c r e a t e _ t i m e   f i l e _ n a m e   f i l e _ p a t h   p r o c e s s _ n a m e   p r o c e s s _ p a t h   p r o c e s s ]   |   d e d u p   f i l e _ c r e a t e _ t i m e   |   t a b l e   d e s t   f i l e _ c r e a t e _ t i m e ,   f i l e _ n a m e ,   f i l e _ p a t h ,   p r o c e s s _ n a m e s o u r c e = " W i n E v e n t L o g : M i c r o s o f t - W i n d o w s - P r i n t S e r v i c e / O p e r a t i o n a l " E v e n t C o d e = 3 1 6   c a t e g o r y   =   " A d d i n g   a   p r i n t e r   d r i v e r "   M e s s a g e   =   " * k e r n e l b a s e . d l l , * "   M e s s a g e   =   " * U N I D R V . D L L , * "   M e s s a g e   =   " * . D L L . * " |   s t a t s   c o u n t   m i n ( _ t i m e )   a s   f i r s t T i m e   m a x ( _ t i m e )   a s   l a s t T i m e   b y   O p C o d e   E v e n t C o d e   C o m p u t e r N a m e   M e s s a g e
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理