【火绒】关于PrintNightmare漏洞复现与火绒漏报或报毒拦截失效那事

显示全部楼层 · 发表于 2021-12-8 13:02:44

本帖最后由 Kawarrui 于 2021-12-8 13:06 编辑

本文章均依据本人在虚拟机上的实验结果;)
本次使用的exp来自：
cube0x0/CVE-2021-1675: C# and Impacket implementation of PrintNightmare CVE-2021-1675/CVE-2021-34527 (github.com)

实验环境:靶机-->Windows 10 1903(安装有最新版火绒)
攻击的机器--> Parrot Linux(漏洞利用) & Kali(smb服务和msf监听)
-----------------------------------------------------------------------------------------------------------------------------------------
Part 1: 漏洞复现过程
一. 用msf生成dll木马(这里直接上的msf的payload,没有加入任何免杀措施)

二.配置好SMB共享

三.msf监听

四.漏洞利用过程展示(P.S 最新版火绒完美miss了此次攻击)
https://mimiksworkshop-my.sharep ... btk5-lv29Q?e=3wjq55
------------------------------------------------------------------------------------------------------------------
Part 2: 在过去的测试中曾经发现火绒报毒却拦截失败的情况(算是bug吗？)
https://mimiksworkshop-my.sharep ... whzg8zf-SA?e=XLCfGc

显示全部楼层 · 发表于 2021-12-8 14:38:54

您好，已收到您的反馈，这边已经转交给工程师测试了，后续会及时回复您的~

显示全部楼层 · 发表于 2021-12-9 10:58:43

您好，感谢反馈，该问题已复现。CVE-2021-34527为打印机远程代码执行漏洞，可通过SMB协议和打印机协议两种方式进行攻击，目前打印机协议的利用方法火绒已进行拦截，针对该POC使用SMB协议的利用方式，需提前获取靶机账号密码，目前暂不支持拦截，后续会跟进。

显示全部楼层 · 发表于 2022-1-30 13:11:30

哟，同行，幸会幸会

显示全部楼层 · 发表于 2022-1-30 13:44:12

本帖最后由 Kawarrui 于 2022-1-30 13:45 编辑

hackerbob 发表于 2022-1-30 13:11
哟，同行，幸会幸会

qaq那有机会一起交流;)

显示全部楼层 · 发表于 2022-1-31 07:04:52

一直在用的软件

[技术原创] 【火绒】关于PrintNightmare漏洞复现与火绒漏报或报毒拦截失效那事

本帖子中包含更多资源