0x00 前言

---

近日，有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare，后经验证公开的exp是一个与CVE-2021-1675不同的漏洞，微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程，并对漏洞成因进行了简单的分析。

0x01 漏洞复现

---

这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基于Windows server 2019，2021-6补丁的，winver=17763.1999。经笔者测试在无任何补丁的Windows server 2019，winver=17763.107环境下使用以下步骤也可以复现RCE。

0x01.1 环境配置

---

实现RCE的条件如下：

1.一个普通权限的域账户，用另一台计算机使用该域账户登录加入域环境。其中域账户权限如下

2.域控主机需要能够访问到使用上述配置登录的计算机的一个共享目录，在Windows下可以使用smb实现，用管理员权限的powershell运行以下命令即可

mkdir C:\share
icacls C:\share\ /T /grant Anonymous` logon:r
icacls C:\share\ /T /grant Everyone:r
New-SmbShare -Path C:\share -Name share -ReadAccess 'ANONYMOUS LOGON','Everyone'
REG ADD "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionPipes /t REG_MULTI_SZ /d srvsvc /f
REG ADD "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionShares /t REG_MULTI_SZ /d share /f
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v EveryoneIncludesAnonymous /t REG_DWORD /d 1 /f
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v RestrictAnonymous /t REG_DWORD /d 0 /f

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8

运行完命令重启生效。

0x01.2 复现

---

GitHub上有2个公开的exp，python版本的https://github.com/cube0x0/CVE-2021-1675 和C++版本的https://github.com/afwu/PrintNightmare ，其中C++版本的是从Zhiniang Peng (@edwardzpeng) & Xuefeng Li (@lxf02942370)公开的exp fork来的。

这两个版本的exp原理都是一样的，也都是可用的，其中python版本的exp需要按照说明文档安装exp作者的impacket库，其余不需要修改任何东西。

pip3 uninstall impacket

git clone https://github.com/cube0x0/impacket

cd impacket

python3 ./setup.py install

c++版本的exp需要把第112行UNIDRV.DLL的路径修改为域控主机对应的路径，如笔者这里对应的路径应修改为：

//info.pDriverPath = (LPWSTR)L"C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_amd64_19a3fe50fa9a21b6\Amd64\UNIDRV.DLL";

info.pDriverPath = (LPWSTR)L"C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_amd64_83aa9aebf5dffc96\Amd64\UNIDRV.DLL";

其余不需要修改任何东西，使用vs编译即可。

python版本exp命令及RCE截图：

c++版本exp命令及RCE截图：

0x02 漏洞分析

---

0x02.1 漏洞根原

---

漏洞的关键在于localspl!SplAddPrinterDriverEx中调用InternalAddPrinterDriverEx加载驱动前的验证ValidateObjectAccess是可以被跳过的。如下localspl!SplAddPrinterDriverEx中的汇编代码为存在漏洞可以导致ValidateObjectAccess被绕过的代码。

.text:0000000180085F25 loc_180085F25:                         ; CODE XREF: SplAddPrinterDriverEx+3F↑j
.text:0000000180085F25                 bt     esi, 0Fh       ; esi=dwFileCopyFlags
.text:0000000180085F29                 mov     ebx, 0
.text:0000000180085F2E                 cmovnb ebx, [rsp+58h+arg_30] ; [rsp+0x90]=1
.text:0000000180085F2E                                         ; CF=1,不进行移位
.text:0000000180085F36                 test   ebx, ebx
.text:0000000180085F38                 jz     short loc_180085F64
.text:0000000180085F3A                 mov     rax, cs:pLocalIniSpooler
.text:0000000180085F41                 xor     r9d, r9d
.text:0000000180085F44                 and     [rsp+58h+var_30], 0
.text:0000000180085F49                 xor     r8d, r8d
.text:0000000180085F4C                 xor     ecx, ecx
.text:0000000180085F4E                 mov     [rsp+58h+var_38], rax
.text:0000000180085F53                 lea     edx, [r9+1]
.text:0000000180085F57                 call   ?ValidateObjectAccess@@YAHKKPEAXPEAKPEAU_INISPOOLER@@W4SERVER_MANAGEMENT_ACCESS_REQUEST@@@Z ; ValidateObjectAccess(ulong,ulong,void *,ulong *,_INISPOOLER *,SERVER_MANAGEMENT_ACCESS_REQUEST)
...