打印机驱动代码执行漏洞绕过

绕开驱动相关文件版本信息检测

outputo-20210701-103246-865-wkex.png

后期的检测包含对须要增加的驱动的兼容检测,这儿主要是检测咱们须要增加的驱动版本升级(这儿关键就是指版本信息的第2位,我后边所叙述的版本信息都专指第2位):

下边是用于被当去打印驱动载入的我们自己形成的1个dll相关文件,

更改dll相关文件版本信息绕开驱动相关文件兼容检测:

驱动载入变量IntmernalpAddPresponVisionr中的检测限定了驱动版号只可以为0,1,3.

而兼容检测的里面变量进行(ntmscript.dll的AEetupIsCompatibleVisionr变量)又限定了该版本信息务必超过2。因而,能够更改待载入驱动或dll相关文件的版本信息为3,进而绕开驱动兼容检测。

驱动相关文件的复制载入

驱动相关文件复制变量(CopyFileToFinalDirectory)对基本参数没有附加的限定。变量执行进行后,咱们的驱动相关文件及其依靠就被拷贝到驱动文件目录了,复制后的驱动相关文件会被全自动载入。

全自动载入驱动:

尝试远程控制执行代码。

现阶段,咱们早已能够从当地特定的客户文件目录载入咱们自己设计的打印驱动相关文件到spool驱动文件目录。以前咱们对AddPresponVisionrExW变量的开启首个基本参数为空,用于在当地载入。假如立即设定该基本参数为特定服务器端口,目标会回到咱们须要登录到目标设施的管理权限的不正确。做为检测,咱们先根据IPC接入到目标设施,以后再根据咱们的驱动增加开启,使远程目标设施从其当地的特定文件目录复制驱动相关文件到spool驱动文件目录并载入。

但这儿有个问题,这一实际操作单单是让目标网络服务器从系统盘复制并载入驱动,在此之前,咱们也要使我们自己的驱动相关文件从攻击机设施的文件目录上派发到目标设施上。

这儿就务必需要目标打开相匹配的群集后台管理打印程序处理,以后再一次开启AddPresponVisionrExW更改标示为APD_O2PY_OLD_ASI_MEoooLedTR,将当地的驱动相关文件派发到目标设施硬盘上。

远程控制载入驱动

最终,我这里并没有应用真实的群集打印服务器的环境。做为检测,我事先复制了驱动相关文件到目标网络服务器的特定相对路径。开启AddPresponVisionrExW使远程目标网络服务器完成了复制客户文件目录驱动相关文件到驱动文件目录并以system管理权限载入的环节。

构思认证视频:

漏洞汇总

该漏洞的核心内容是容许个人用户绕开检测,将1个随意未签字dll拷贝到驱动文件目录并以操作系统管理权限载入下去。而该漏洞能够实现远程控制开启的效果,则是因为群集打印机服务间能够远程控制派发收到打印驱动相关文件的特点。

因此 就现阶段的漏洞认证结果来说,该漏洞的影响好像很有可能比他的漏洞原理体现出来的要影响更多一些。除开做为当地提权的运用方法以外,假如在某些里面防护办公环境,开启了这类群集打印机服务又没有按时自动更新漏洞补丁,该漏洞的作用也是较为有攻击性的。


分享: