Juicy Potato本地特權提升工具(RottenPotatoNG加強版)

RottenPotatoNG及其變體利用了基于在127.0.0.1:6666上具有MiTM偵聽器的BITS服務,以及當你擁有SeImpersonate或SeAssignPrimaryToken權限時的特權提升鏈。

概要

Juicy Potato是一個本地特權提升工具,是RottenPotatoNG的加強版。RottenPotatoNG及其變體利用了基于在127.0.0.1:6666上具有MiTM偵聽器的BITS服務,以及當你擁有SeImpersonate或SeAssignPrimaryToken權限時的特權提升鏈。在Windows構建審核期間,我們找到了一個設置,其中有意禁用了BITS并使用了6666端口。

因此,我們決定武器化RottenPotatoNG

有關更多內容,你可以參考 Rotten Potato – 從服務帳戶到SYSTEM的權限提升 這篇文章。

我們發現除了BITS之外,還有一些我們可以濫用的COM服務器。只需滿足以下條件即可:

可由當前用戶實例化,通常是具有模擬( impersonation)權限的“服務用戶”

實現IMarshal接口

以特權用戶身份運行(SYSTEM,Administrator,…)

經過一些測試,我們在幾個Windows版本上獲得并測試了大量有趣的CLSID列表

JuicyPotato 的功能

Target CLSID

選擇你想要的任何CLSID。在這里,你可以找到多個windows版本的CLSID列表。

COM Listening port

定義你喜歡的COM偵聽端口

COM Listening IP address

在任意IP上綁定服務器

Process creation mode

取決于模擬用戶的權限,有以下三個選擇:

CreateProcessWithToken (需要SeImpersonate權限)

CreateProcessAsUser (需要SeAssignPrimaryToken權限)

both

Process to launch

如果利用成功,則啟動可執行文件或腳本

Process Argument

自定義已啟動的進程參數

RPC Server address

對外部RPC服務器進行身份驗證

RPC Server port

如果你想要對外部服務器進行身份驗證,并且防火墻阻止135端口,那么這將非常有用…

TEST mode

主要用于測試目的,即測試CLSID。

使用

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess調用: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: 運行程序
-l <port>: COM服務器偵聽端口


Optional args:
-m <ip>: COM服務器偵聽地址 (默認 127.0.0.1)
-a <argument>: 傳遞給程序命令行參數 (默認 NULL)
-k <ip>: RPC服務器IP地址 (default 127.0.0.1)
-n <port>: RPC服務器偵聽端口 (default 135)
-c <{clsid}>: CLSID (default BITS:{4991d34b-80a1-4291-83b6-3328366b9097})
-z 僅測試CLSID并打印令牌的用戶

截圖

Juicy Potato本地特權提升工具

如果用戶具有SeImpersonate或SeAssignPrimaryToken權限,那么你將最終提升為SYSTEM。

另外,你幾乎不可能防止對所有這些COM服務器的濫用行為。你或許可以考慮通過DCOMCNFG來修改這些對象的權限,但這樣做的難度非常的大。

實際的解決方案是,保護在* SERVICE帳戶下運行的敏感帳戶和應用程序。停止DCOM是最有效的做法,但這可能會對操作系統底層產生嚴重的影響。

相關參考

Rotten Potato – Privilege Escalation from Service Accounts to SYSTEM

Windows: DCOM DCE/RPC Local NTLM Reflection Elevation of Privilege

Potatoes and Tokens

The lonely Potato

Social Engineering the Windows Kernel by James Forshaw

 *參考來源:githubFB小編 secist 編譯,轉載請注明來自FreeBuf.COM

1

發表評論

已有 1 條評論

取消
Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图