Detailed analysis and exploitation of windows print spooler 0day vulnerability
近日,微软警告Windows用户称,Windows Print Spooler服务中存在未修补的严重漏洞。 本以为漏洞已被修复,意外披露PoC 这个被称为“PrintNightmare”的漏洞是在安全研究人员意外发布概念验证(PoC)漏洞后于本周早些时候被发现的。虽然微软尚未对该漏洞进行CVSS评分或严重程度分级,但它允许攻击者以系统级权限远程执行任意代码。 早前,可能是与微软之间的沟通出现了问题,导致某网络安全公司的研究人员发布了该漏洞的概念验证代码(PoC),错误地认为它已经作为CVE-2021-167
PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service》相关POC和漏洞信息
早在 2020 年 5 月,微软就修复了一个 Windows Print Spooler 权限提升漏洞。该漏洞的编号为 CVE-2020–1048,微软承认 SafeBreach Labs 的 Peleg Hadar 和 Tomer Bar 报告了该安全问题。在补丁发布的同一天,Yarden Shafir和Alex Ionescu发表了关于该漏洞的技术文章。本质上,用户可以通过创建指向磁盘上文件的打印机端口来写入任意文件。在修补漏洞 (CVE-2020–1048) 后,Print Spooler 现在将在添加端口之前检查用户是否有权创建或写入文件。补丁和博文发布一周后,Paolo Stagno(又名 VoidSec)私下向微软披露了 CVE-2020–1048 的绕过方法。该绕过在三个月后的 2020 年 8 月得到修补,微软承认有八个独立实体报告了该漏洞,该漏洞被确定为 CVE-2020-1337。该漏洞的绕过使用目录连接(符号链接)来规避安全检查。假设用户创建了目录C:\MyFolder\并配置了一个打印机端口以指向该文件C:\MyFolder\Port。该操作将被授予,因为确实允许用户创建C:\MyFolder\Port. 现在,如果用户随后变成C:\MyFolder\指向C:\Windows\System32\创建端口之后的目录连接会发生什么?好吧,Spooler 会简单地写入文件C:\Windows\System32\Port。
Bleeping Computer 消息称,美国网络安全和基础设施安全局(CISA)在其积极利用漏洞列表中新增三个安全漏洞,其中包括 Windows Print Spooler 中的本地权限提升漏洞。
在群里聊天,看到一段代码,是可以统计文件夹下所有文件的行数,觉得不错,记录下来,以备将来有用的时候来派用场,下面贴上代码:
结论先行:web rdp 软件Myrtille,支持server 2016/2019/2022系统
作者 今日头条技术团队 概述 今日头条目前大部分 Python 的 HTTP 服务都是用 uWSGI 托管 Python 多进程的 Django 或者 Flask 框架的 App。而多进程模型就会有进程间通信的问题,对此 uWSGI 提供了 spooler 功能用于让不同 worker 进程把数据通过共享内存传给单独进程以集中进行处理的功能。但是 uWSGI 的 Python C 扩展实现有 bug,对 Python tuple 对象的引用计数处理是错误的,会在多线程环境下有小概率导致进程崩溃,从而造
主要功能及优势:轻松修改PDF文档内容,以所见即所得的方式实现可靠、方便的编辑,无需了解PDF格式知识。快捷、完美的PDF页面显示 ,简洁、清晰的用户界面,体积小巧、轻松下载,安装后只占据少许硬盘空间,支持多国语言显示,价格实惠。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
微软发布的安全更新补丁中包括了一个Windows Print Spooler权限提升漏洞,漏洞CVE编号:CVE-2021-1675。
把它里面的内容复制到C:\WINDOWS\system32 目录下,替换原有文件(建议先备份原来的那几个文件,不然崩了就不好了)
作者 | 今日头条技术团队 概述 今日头条目前大部分 Python 的 HTTP 服务都是用 uWSGI 托管 Python 多进程的 Django 或者 Flask 框架的 App。而多进程模型就会有进程间通信的问题,对此 uWSGI 提供了 spooler 功能用于让不同 worker 进程把数据通过共享内存传给单独进程以集中进行处理的功能。但是 uWSGI 的 Python C 扩展实现有 bug,对 Python tuple 对象的引用计数处理是错误的,会在多线程环境下有小概率导致进程崩溃,从而
Windows Print Spooler权限提升漏洞(PrintNightmare)
2019年6月11日,微软发布6月份安全补丁更新。在该安全补丁更新中,对 CVE-2019-1040 漏洞进行了修复。该漏洞存在于Windwos 大部分版本中,当中间人攻击者能够成功绕过NTLM 消息完整性校验(MIC)时,Windows 存在可能可篡改的漏洞。成功利用此漏洞的攻击者可以获得降级 NTLM 安全功能的能力。要利用此漏洞,攻击者需要篡改NTLM 交换,然后修改NTLM 数据包的标志,而不会使签名无效。结合其他漏洞和机制,在某些场景下,攻击者可以在仅有一个普通账户域账户的情况下接管全域。
此处是关闭再运行打印机相关服务 %1 start "" mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c ""%~s0"" ::","","runas",1)(window.close)&&exit net stop Spooler net start Spooler net stop PrintNotify net start PrintNotify 保存为bat即可执行 我们还可以将bat放入 C:\
再后来,免费版毕竟是免费版,它的编辑功能实在不够用。于是,就有了这款Adobe Acrobat Pro DC 2018。
错误原因:我之前重新配置了打印机服务器,配置打印机到另外一台性能高的机器上;之前连接打印机的机器重新连接新打印机时,连接不上;配置过程中,更换了一次服务器 ip 192.168.3.109->192.168.3.110;再次连接新打印机时,出现了上述错误;
函数可以让我们将一个复杂功能划分成若干模块,让程序结构更加清晰,代码重复利用率更高。像其他编程语言一样,shell也支持函数。shell函数必须先定义后使用
让我们检查一下关于 RpcAddPrinterDriver 调用的 MS-RPRN:打印系统远程协议。
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。
Adobe Acrobat DC 2018中文版是一款由Adobe官方推出的PDF编辑和阅读软件,是目前互联网上最专业最优秀的桌面pdf解决方案,它将全球最佳的PDF解决方案提升到新的高度,配有直观触控式界面,通过开发强大的新功能,使用户能在任何地方完成工作。新工具中心可更简单迅速的访问最常使用的工具。Acrobat DC可利用Photoshop强大的图像编辑功能,将任何纸质文件转换为可编辑的电子文件,用于传输、签字。
解决:操作无法完成(错误0x00000709)。再次检查打印机名称,并确保打印机已连接到…
SCOM支持服务级别的监控,并可针对某些重要服务配置服务停止后自动启动,综合来讲SCOM是一个很强大的平台,除了服务外,还可实现某些基于程序进程的应用自我修复或某些代码级别的自动修复、某些代码程序的自我修复、某些网站的自我修复等,前述章节,我们已经推送了客户端代理Agent,并且相关Agent也都工作正常,可以看到常规的监控视图,本节我们以Printer Spooler打印服务为例,讲述如何配置服务级别的监控,并在监控后如何配置服务意外停止后自动启动。
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。近期安全研究人员在Github公布了Windows PrintSpooler远程代码执行漏洞POC。攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序,若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。
1.找一台未更新前的或者卸载更新的正常电脑,C:WindowsSystem32Win32spl.dll拷贝出来,命名为Win32spl.dll.good【文章底部提供下载】 在更新后的问题电脑上操作: 2.将Win32spl.dll.good放入c盘根目录。 3.新建文本文档,拷贝以下代码,保存,修改后缀为.bat
Microsoft Windows Print Spooler 服务未能限制对RpcAddPrinterDriverEx()函数的访问,该函数可能允许远程身份验证的攻击者以系统权限在易受攻击的系统上执行任意代码。
rsyslog服务和logrotate服务 ====================================================================== rsyslog 是一个 syslogd 的多线程增强版。 现在Fedora和Ubuntu, rhel6默认的日志系统都是rsyslog了
SpoolSploit是一款针对Windows打印后台处理程序(print spooler)的安全审计工具,广大研究人员可以使用SpoolSploit检测Windows打印后台处理程序(print spooler)中存在的安全漏洞,并通过实际的利用技术来进行渗透测试或安全审计。
发现看议题材料也不容易啊,有些议题挺有技术深度的,而且内容还特长,长就算了,有些ppt其实只讲了不到一半的内容,另一半都得靠作者演讲才能知道,剩下的只能靠自己脑补或搜索资料了,我只能说真的费脑费时间。
主要就是打开了 udp 514 端口以接受其它服务器传来的日志,打开了往 mysql 中写数据的通道,然后打开一个产生 -- MARK -- 标记信息的特性
beats是一个使用Golang构建的平台,libbeat是其核心库,用来提供API进行与Elasticsearch,Logstash的连接,还能配置输入特性和实现信息收集等工作
原文链接:https://www.yuque.com/leader755/blog/gq06mg
2.删除服务(除非对自己电脑的软、硬件所需的服务比較清楚,否则不建议删除不论什么系统服务,特别是基础服务)
vnc软件很多我试过5种todesk、nomachine 、tightvnc、vncserver、radmin
后台作业,主要用于运行需要处理大量数据,对交互没有要求的程序。个人认为,简单的创建,配置和监控后台作业没有什么难度。后台作业管理最为困难的解决方案的取舍,系统负载的调控。失控的后台作业,往往对系统带来灾难性的性能问题,也会导致权限管理的风险,结果是得不偿失,而且可能导致流程混乱。所以个人认为,要创建一个周期性的后台作业之前,首先应该慎重分析。比方说,一个已经明显偏向 OLAP类型的报表,如果能够用BI去实现,为什么还要坚持在生产系统去跑长时间的后台作业?这极有可能是一种严重的重复运行的性能问题。再比方说,用户获得授权随意创建后台作业,结果导致后台作业失控,在业务繁忙的时候,因为大量的后台作业导致整个系统的停顿,会造成实实在在的经济损失。再比如说,后台作业安排的不合理,可能耗资源的和重要的后台作业直接或者间接安排到了同一个时间段,那么必然会影响流程的运作。
wmic /node:"192.168.203.131" /password:"" /user:"administrator"
360网络安全响应中心通告 https://cert.360.cn/warning/detail?id=1c91a39380b3701e57d3eae7e46349fe 漏洞利用: mimikatz项
今天真倒霉啊,忙的不可开交的时候,竟然发现打印机无法连接电脑,真是醉了!老板急着要一份文件呢?
增加了一条,将本地的日志记录到远程的服务器 192.168.100.105 , 不指定端口就是默认的 udp 514
打印机是日常办公中必不可少的一个工具,不过想要使用打印机的话是需要连接电脑的,但有小伙伴反馈自己Win10系统的电脑在添加打印机的时候找不到对应的型号,那么遇到这种情况应该怎么办呢?下面就和小编一起来
Diagostic policy server 检测网络 禁用 print Spooler 打印机 禁用 Superfetch 加速了固态硬盘的寿命损耗禁用, 机械键盘自动 Windows Defender 禁用 Windows Update 禁用 Windows Search 文件索引
对于Linux系统安全来说,日志文件是极其重要的工具。不知为何,我发现很多运维同学的服务器上都运行着一些诸如每天切分Nginx日志之类的CRON脚本,大家似乎遗忘了Logrotate,争相发明自己的轮子,这真是让人沮丧啊!就好比明明身边躺着现成的性感美女,大家却忙着自娱自乐,罪过!logrotate程序是一个日志文件管理工具。用于分割日志文件,删除旧的日志文件,并创建新的日志文件,起到“转储”作用。可以节省磁盘空间。下面就对logrotate日志轮转操作做一梳理记录: 1)配置文件介绍 Linux系统默认安
ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地。
1.Rsyslog介绍 Rsyslog is Rocket-fast System for Log processing.Rsyslog是CentOS6系列默认的日志处理软件。Rsyslog基于模块化设计,提供高性能,安全的日志处理系统。Rsyslog是多线程的,支持TCP,UDP,TLS,RELP.Rsyslog实际上syslog的一个增强版本。
前提1:用来rdp远程windows服务器的本地客户端电脑连接本地打印机完全正常使用
Remote Procedure Call (RPC)即rpcss是很多服务依赖的底层服务,查询依赖rpcss的所有服务的命令如下:
描述:wmic.exe是Windows Management Instrumentation,Windows管理工具,提供了从命令行接口和批命令脚本执行系统管理的支持。其不能直接进行执行,需要切换终端到C:\Windows\System32\wbem位置下才能进行调用;
1、Ctrl+x,然后选择“计算机管理”,展开“服务和应用程序”,找到“服务”;
领取专属 10元无门槛券
手把手带您无忧上云