01前言

在较大的企业、政企、高校等单位的网络信息化建设中，域环境常常是内部网络建设的重要一部分，从现有网络安全建设来看，大部分单位的内部网络的安全性往往做的没有边界这么好，网络防御的重点基本还是集中在网络边界位置。

随着黑产团伙网络攻击事件的频频发生，在攻击者“穿过”单位网络的“边界防御”后，内部网络这块“香饽饽”是不会轻易放过的。黑客经常会利用AD域（ActiveDirectoryDomain）来作为首要攻击目标，特别是域控，一旦域控被拿下，基本上可以说整个域已宣布失陷，整个过程黑客涉及了网络攻击生命周期中的权限提升、内部侦察和横向移动阶段。

图1网络攻击生命周期

本章将对域内渗透常被利用的漏洞之一：WindowsPrintSpooler权限提升漏洞——CVE--进行介绍分析，聚铭网络流量智能分析审计产品支持对该漏洞利用的检测。

02漏洞简介

该漏洞又被漏洞的作者称为PrintNightmare，引发该漏洞的原因主要是因为当WindowsPrintSpooler服务（Windows的打印机后台处理程序）不正确地执行特权文件操作时，存在远程执行代码漏洞风险。成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证，并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中，则攻击者可以连接到DC中的Spooler服务，并利用该漏洞在DC中安装恶意的驱动程序，完整的控制整个域环境。

03影响范围04漏洞复现相关POC

转载请注明:http://www.aideyishus.com/lkjg/8664.html