Windows Print Spooler权限提升漏洞(PrintNightmare) 目录 一:漏洞概述 二:影响范围 三:漏洞利用 漏洞过程 创建匿名SMB共享...mimikatz攻击 四:漏洞防护 4.1 官方升级 4.2 临时防护措施 壹 漏洞概述 2021年6月9日,微软发布6月安全更新补丁,修复了50个安全漏洞,其中包括一个Windows Print Spooler...Print Spooler是Windows系统中用于管理打印相关事务的服务,在Windows系统中用于后台执行打印作业并处理与打印机的交互,管理所有本地和网络打印队列及控制所有打印工作。...如果一个域中存在此漏洞,域中普通用户即可通过连接域控 Spooler 服务,向域控中添加恶意驱动,从而控制整个域环境。...4.2 临时防护措施 若相关用户暂时无法进行补丁更新,可通过禁用Print Spooler服务来进行缓解: 一:在服务应用(services.msc)中找到Print Spooler服务。
1、漏洞描述 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。...攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序,若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC
mimikatz SpoolSploit项目 https://github.com/BeetleChunks/SpoolSploit 漏洞描述: 攻击者可利用此漏洞攻击所有运行Windows Print Spooler
后台处理程序组件简介 Windows Print Spooler 是所有 Windows 工作站和服务器上的内置组件,它是打印界面的主要组件。Print Spooler 是管理打印过程的可执行文件。...胜池驱动程序 winspool.drv是进入 Spooler 的客户端接口。它导出构成 Spooler 的 Win32 API 的函数,并提供用于访问服务器的 RPC 存根。...当 Spooler 初始化时,C:\Windows\System32\printers\将创建每个人都具有可写权限的目录。如果该目录已经存在,Spooler 将不会对该文件夹设置可写权限。...我们现在有了在打印机驱动程序目录中创建可写目录并将驱动程序目录中的 DLL 加载到 Spooler 服务中的原语。剩下的唯一事情是重新启动 Spooler 服务,以便创建目录。...中强制 Spooler 重新启动以创建目录 将 DLL 写入打印机驱动程序目录内的新目录 将 DLL 加载到 Spooler 请记住,只需创建一次驱动程序目录即可加载所需数量的 DLL。
2022年02月09日,微软发布了安全更新,修复了48个安全漏洞(不包括22个Microsoft Edge漏洞),其中CVE-2022-22718为Window...
并加载 C:\Windows\System32\spool\drivers\x64\3\A.dll 和 C:\Windows\System32\ spool\drivers\x64\3\C.dll 进入 Spooler...但是,在最新版本中,Spooler 将检查以确保 A 和 C 不是 UNC 路径。但是由于 B 可以是 UNC 路径,所以我们可以将 pConfigFile 设置为 UNC 路径(evildll)。...然后我们可以绕过访问冲突并成功将我们的 evil.dll 注入到 spooler 服务中。 成功加载我们的dll: 用法 ....至于 RCE 部分,您需要一个用户在 Spooler 服务上进行身份验证。但是,这在域环境中仍然很重要。...由于通常 DC 会启用 Spooler 服务,因此被入侵的域用户可能会利用此漏洞来控制 DC 地址 https://github.com/afwu/PrintNightmare
作者:shiyi@Timeline Sec 本文字数:1191 阅读时长:3~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Windows Print Spooler...0x02 漏洞概述 攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序,若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务...临时防护措施: 若相关用户暂时无法进行补丁更新,可通过禁用Print Spooler服务来进行缓解: 1)在服务应用(services.msc)中找到Print Spooler服务。
0x00 简介 微软发布的安全更新补丁中包括了一个Windows Print Spooler权限提升漏洞,漏洞CVE编号:CVE-2021-1675。...0x01 漏洞概述 Print Spooler是Windows系统中管理打印相关事务的服务,用于管理所有本地和网络打印队列并控制所有打印工作。...Windows系统默认开启 Print Spooler 服务,普通用户可以利用此漏洞提升至SYSTEM管理权限。...对 “我的电脑” 右键,点击 “管理”: 双击 “服务和应用程序” : 双击 “服务” : 找到 “Print Spooler” 并右键启动: 0x04 漏洞复现 1.下载 exp: https...步骤调整为禁用 Print Spooler ,能临时进行缓解。
漏洞详情 Microsoft Windows Print Spooler 服务未能限制对RpcAddPrinterDriverEx()函数的访问,该函数可能允许远程身份验证的攻击者以系统权限在易受攻击的系统上执行任意代码...攻击者可以利用任何经过身份验证的用户都可以调用RpcAddPrinterDriverEx()并指定位于远程服务器上的驱动程序文件,这会导致 Print Spooler 服务spoolsv.exe以 SYSTEM...2.临时禁用Print Spooler服务。在服务应用(services.msc)中找到Print Spooler服务,停止运行服务,同时将"启动类型"修改为"禁用"。
近日,微软警告Windows用户称,Windows Print Spooler服务中存在未修补的严重漏洞。...该公司建议称,在补丁可用之前可以先禁用 Windows Print Spooler 服务。...: Stop-Service -Name Spooler -Force 然后运行以下命令以防止Windows在启动时重新启用 Print Spooler 服务: Set-Service -Name Spooler...Print Spooler 服务”。...多年来,Windows Print Spooler 服务中的漏洞一直是系统管理员头疼的问题。最臭名昭著的例子是震网(Stuxnet)病毒。
Detailed analysis and exploitation of windows print spooler 0day vulnerability 2021年6月29号:深信服安全研究员在Github...上分布了名为《 PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service》相关POC和漏洞信息 2021...防御方法 微软建议 确定 Print Spooler 服务是否正在运行 运行以下命令: Get-Service -Name Spooler 如果 Print Spooler 正在运行或该服务未设置为禁用...,请选择以下选项之一以禁用 Print Spooler 服务,或通过组策略禁用入站远程打印: 选项 1 - 禁用 Print Spooler 服务 如果禁用 Print Spooler 服务适合您的企业...,请使用以下 PowerShell 命令: Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled
Print Spooler Print Spooler是管理打印过程的可执行文件。打印管理涉及检索正确打印机驱动程序的位置、加载该驱动程序、将高级函数调用假脱机到打印作业中、安排打印作业进行打印等。...最后就是加载我们的任意DLL进入 Spooler 服务中,这样就完成了漏洞利用。...服务是否正在运行 运行以下命令: Get-Service -Name Spooler 如果 Print Spooler 正在运行或该服务未设置为禁用,请选择以下选项之一以禁用 Print Spooler...服务,或通过组策略禁用入站远程打印: 选项 1 - 禁用 Print Spooler 服务 如果禁用 Print Spooler 服务适合您的企业,请使用以下 PowerShell 命令: Stop-Service...-Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled 选项 2 - 通过组策略禁用入站远程打印 还可以通过组策略配置设置
Bleeping Computer 消息称,美国网络安全和基础设施安全局(CISA)在其积极利用漏洞列表中新增三个安全漏洞,其中包括 Windows Print Spooler 中的本地权限提升漏洞。...值得一提的是,在 PrintNightmare 的技术细节和概念验证(POC)漏洞被意外泄露后,CISA 立刻警告管理员在域控制器和不用于打印的系统上禁用 Windows Print Spooler 服务...过去 12 个月里,Redmond 修补了其他几个 Windows Print Spooler 存在的漏洞,其中包括关键的PrintNightmare 远程代码执行漏洞。...尽管该指令只适用于美国联邦机构,但 CISA 强烈敦促所有在美机构立即修复 Windows Print Spooler 权限提升漏洞,以阻止潜在攻击者在其 Windows 系统上提升权限的企图。...https://www.bleepingcomputer.com/news/security/cisa-warns-of-attackers-now-exploiting-windows-print-spooler-bug
filename:/var/log/wtmp filenumber:23 filename:/var/log/rpmpkgs.1 filenumber:249 filename:/var/log/spooler...:/var/log/rpmpkgs.3 filenumber:247 filename:/var/log/lastlog filenumber:1 filename:/var/log/spooler.../var/log/xferlog.4 filenumber:0 filename:/var/log/boot.log.1 filenumber:0 filename:/var/log/spooler...filename:/var/log/xferlog filenumber:0 filename:/var/log/maillog filenumber:0 filename:/var/log/spooler....3 filenumber:0 filename:/var/log/tallylog filenumber:0 filename:/var/log/spooler.1 filenumber
3.在服务中找到 “Print Spooler” ? 4.右击“Print Spooler”,属性 ? 5.将启动类型改为手动 ?...软件安装完成后,按照最开始的安装步骤去把Print Spooler的启动类型改为【自动】,不然原来的打印机就用不了了。
Shell.Application").ShellExecute("cmd.exe","/c ""%~s0"" ::","","runas",1)(window.close)&&exit net stop Spooler...net start Spooler net stop PrintNotify net start PrintNotify 保存为bat即可执行 我们还可以将bat放入 C:\ProgramData\Microsoft
重启打印机服务bat命令 @echo off echo 停止打印服务 net stop Spooler echo 重新启动打印服务 net start Spooler echo 完成!!!!
如果是外部验证的话,打开浏览器访问http://服务器外网IP/Myrtille/ 出现如下界面,不用填别的,只需要填用户名和密码即可 我刚5个系统试了下,2008R2、2012R2即便开启Print Spooler...也安装报错,2016 、2019一次性成功,顺便也测试了server 2022也是OK的,经过对比测试,安装这个软件需要使Print Spooler处于运行状态,即便没禁用但如果没运行也是不行的,必须运行中才能默认的啥都不改就安装成功...既然报错跟虚拟打印机有关,那我们看下打印机相关服务Print Spooler,这个服务在腾讯云公共镜像里是禁止的,我实测即便不是禁止的,也得是运行状态才行,否则全选安装Myrtille就会报错,要么你安装
解决方案很简单: 用管理员身份,打开cmd 输入: net stop spooler 然后,下载下面这个文件: win11打印机-0709错误补丁文件 把它里面的内容复制到C:\WINDOWS\system32...目录下,替换原有文件(建议先备份原来的那几个文件,不然崩了就不好了) 最后在刚刚那个cmd里面输入 net start spooler
之前连接打印机的机器重新连接新打印机时,连接不上;配置过程中,更换了一次服务器 ip 192.168.3.109->192.168.3.110;再次连接新打印机时,出现了上述错误; 解决方法: 1.服务的列表中找到”Print Spooler...“,重新启动 print spooler 服务; ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
