查看: 3281|回复: 5
收起左侧

[技术原创] 【火绒】关于PrintNightmare漏洞复现与火绒漏报或报毒拦截失效那事

[复制链接]
Kawarrui
发表于 2021-12-8 13:02:44 | 显示全部楼层 |阅读模式
本帖最后由 Kawarrui 于 2021-12-8 13:06 编辑

本文章均依据本人在虚拟机上的实验结果;)
本次使用的exp来自:
cube0x0/CVE-2021-1675: C# and Impacket implementation of PrintNightmare CVE-2021-1675/CVE-2021-34527 (github.com)

实验环境:靶机-->Windows 10 1903(安装有最新版火绒)
               攻击的机器--> Parrot Linux(漏洞利用) & Kali(smb服务和msf监听)
-----------------------------------------------------------------------------------------------------------------------------------------
Part 1: 漏洞复现过程
一. 用msf生成dll木马(这里直接上的msf的payload,没有加入任何免杀措施)

二.配置好SMB共享


三.msf监听



四.漏洞利用过程展示(P.S 最新版火绒完美miss了此次攻击)
https://mimiksworkshop-my.sharep ... btk5-lv29Q?e=3wjq55
------------------------------------------------------------------------------------------------------------------
Part 2: 在过去的测试中曾经发现火绒报毒却拦截失败的情况(算是bug吗?)
https://mimiksworkshop-my.sharep ... whzg8zf-SA?e=XLCfGc

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
火绒工程师
发表于 2021-12-8 14:38:54 | 显示全部楼层
您好,已收到您的反馈,这边已经转交给工程师测试了,后续会及时回复您的~
火绒工程师
发表于 2021-12-9 10:58:43 | 显示全部楼层
您好,感谢反馈,该问题已复现。CVE-2021-34527为打印机远程代码执行漏洞,可通过SMB协议和打印机协议两种方式进行攻击,目前打印机协议的利用方法火绒已进行拦截,针对该POC使用SMB协议的利用方式,需提前获取靶机账号密码,目前暂不支持拦截,后续会跟进。
hackerbob
发表于 2022-1-30 13:11:30 | 显示全部楼层
哟,同行,幸会幸会
Kawarrui
 楼主| 发表于 2022-1-30 13:44:12 | 显示全部楼层
本帖最后由 Kawarrui 于 2022-1-30 13:45 编辑
hackerbob 发表于 2022-1-30 13:11
哟,同行,幸会幸会

qaq那有机会一起交流;)
swj1984
发表于 2022-1-31 07:04:52 | 显示全部楼层
一直在用的软件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-16 19:40 , Processed in 0.131435 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表