JuicyPotato
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
JuicyPotato non funziona su Windows Server 2019 e Windows 10 build 1809 e successivi. Tuttavia, PrintSpoofer, RoguePotato, SharpEfsPotato possono essere utilizzati per sfruttare gli stessi privilegi e ottenere accesso a livello NT AUTHORITY\SYSTEM
. Controlla:
Versione zuccherata di RottenPotatoNG, con un po' di succo, cioè un altro strumento di escalation dei privilegi locali, da un Windows Service Accounts a NT AUTHORITY\SYSTEM
RottenPotatoNG e le sue varianti sfruttano la catena di escalation dei privilegi basata sul BITS
servizio avendo il listener MiTM su 127.0.0.1:6666
e quando hai privilegi SeImpersonate
o SeAssignPrimaryToken
. Durante una revisione della build di Windows abbiamo trovato una configurazione in cui BITS
era intenzionalmente disabilitato e la porta 6666
era occupata.
Abbiamo deciso di armare RottenPotatoNG: Dì ciao a Juicy Potato.
Per la teoria, vedi Rotten Potato - Privilege Escalation from Service Accounts to SYSTEM e segui la catena di link e riferimenti.
Abbiamo scoperto che, oltre a BITS
, ci sono diversi server COM che possiamo sfruttare. Devono solo:
essere istanziabili dall'utente corrente, normalmente un "utente di servizio" che ha privilegi di impersonificazione
implementare l'interfaccia IMarshal
essere eseguiti come un utente elevato (SYSTEM, Administrator, …)
Dopo alcuni test abbiamo ottenuto e testato un elenco esteso di CLSID interessanti su diverse versioni di Windows.
JuicyPotato ti consente di:
Target CLSID scegli qualsiasi CLSID tu voglia. Qui puoi trovare l'elenco organizzato per OS.
COM Listening port definisci la porta di ascolto COM che preferisci (invece della hardcoded 6666)
COM Listening IP address collega il server a qualsiasi IP
Process creation mode a seconda dei privilegi dell'utente impersonato puoi scegliere tra:
CreateProcessWithToken
(richiede SeImpersonate
)
CreateProcessAsUser
(richiede SeAssignPrimaryToken
)
entrambi
Process to launch lancia un eseguibile o uno script se lo sfruttamento ha successo
Process Argument personalizza gli argomenti del processo lanciato
RPC Server address per un approccio furtivo puoi autenticarti a un server RPC esterno
RPC Server port utile se vuoi autenticarti a un server esterno e il firewall blocca la porta 135
…
TEST mode principalmente per scopi di test, cioè testare i CLSID. Crea il DCOM e stampa l'utente del token. Vedi qui per il test
Se l'utente ha i privilegi SeImpersonate
o SeAssignPrimaryToken
, allora sei SYSTEM.
È quasi impossibile prevenire l'abuso di tutti questi server COM. Potresti pensare di modificare i permessi di questi oggetti tramite DCOMCNFG
, ma buona fortuna, sarà una sfida.
La soluzione reale è proteggere gli account e le applicazioni sensibili che vengono eseguiti sotto gli account * SERVICE
. Fermare DCOM
inibirebbe certamente questo exploit, ma potrebbe avere un impatto serio sul sistema operativo sottostante.
Da: http://ohpe.it/juicy-potato/
Nota: Visita questa pagina per un elenco di CLSID da provare.
Spesso, il CLSID predefinito che JuicyPotato utilizza non funziona e l'exploit fallisce. Di solito, ci vogliono più tentativi per trovare un CLSID funzionante. Per ottenere un elenco di CLSID da provare per un sistema operativo specifico, dovresti visitare questa pagina:
Prima, avrai bisogno di alcuni eseguibili oltre a juicypotato.exe.
Scarica Join-Object.ps1 e caricalo nella tua sessione PS, e scarica ed esegui GetCLSID.ps1. Quel script creerà un elenco di possibili CLSID da testare.
Poi scarica test_clsid.bat (cambia il percorso per l'elenco CLSID e per l'eseguibile juicypotato) ed eseguilo. Inizierà a provare ogni CLSID, e quando il numero di porta cambia, significherà che il CLSID ha funzionato.
Controlla i CLSID funzionanti utilizzando il parametro -c
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)