JuicyPotato
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
JuicyPotato nie działa na Windows Server 2019 i Windows 10 od wersji 1809. Jednakże, PrintSpoofer, RoguePotato, SharpEfsPotato mogą być użyte do uzyskania tych samych uprawnień i zdobycia dostępu na poziomie NT AUTHORITY\SYSTEM
. Sprawdź:
Słodzona wersja RottenPotatoNG, z odrobiną soku, tj. kolejne narzędzie do eskalacji uprawnień lokalnych, z konta usługi Windows do NT AUTHORITY\SYSTEM
RottenPotatoNG i jego warianty wykorzystują łańcuch eskalacji uprawnień oparty na BITS
usłudze mającej nasłuch MiTM na 127.0.0.1:6666
i gdy masz uprawnienia SeImpersonate
lub SeAssignPrimaryToken
. Podczas przeglądu wersji Windows znaleźliśmy konfigurację, w której BITS
był celowo wyłączony, a port 6666
był zajęty.
Postanowiliśmy uzbroić RottenPotatoNG: Powitaj Juicy Potato.
Dla teorii, zobacz Rotten Potato - Eskalacja uprawnień z kont usług do SYSTEM i śledź łańcuch linków i odniesień.
Odkryliśmy, że oprócz BITS
istnieje kilka serwerów COM, które możemy nadużyć. Muszą one tylko:
być instancjonowane przez bieżącego użytkownika, zazwyczaj „użytkownika usługi”, który ma uprawnienia do impersonacji
implementować interfejs IMarshal
działać jako użytkownik z podwyższonymi uprawnieniami (SYSTEM, Administrator, …)
Po kilku testach uzyskaliśmy i przetestowaliśmy obszerną listę interesujących CLSID-ów na kilku wersjach Windows.
JuicyPotato pozwala Ci:
Cel CLSID wybierz dowolny CLSID, który chcesz. Tutaj możesz znaleźć listę uporządkowaną według systemu operacyjnego.
Port nasłuchujący COM zdefiniuj preferowany port nasłuchujący COM (zamiast twardo zakodowanego 6666)
Adres IP nasłuchujący COM przypisz serwer do dowolnego adresu IP
Tryb tworzenia procesu w zależności od uprawnień użytkownika, którego impersonujesz, możesz wybierać spośród:
CreateProcessWithToken
(wymaga SeImpersonate
)
CreateProcessAsUser
(wymaga SeAssignPrimaryToken
)
oba
Proces do uruchomienia uruchom plik wykonywalny lub skrypt, jeśli eksploatacja się powiedzie
Argument procesu dostosuj argumenty uruchamianego procesu
Adres serwera RPC dla dyskretnego podejścia możesz uwierzytelnić się w zewnętrznym serwerze RPC
Port serwera RPC przydatne, jeśli chcesz uwierzytelnić się w zewnętrznym serwerze, a zapora blokuje port 135
…
TRYB TESTOWY głównie do celów testowych, tj. testowanie CLSID-ów. Tworzy DCOM i drukuje użytkownika tokena. Zobacz tutaj do testowania
Jeśli użytkownik ma uprawnienia SeImpersonate
lub SeAssignPrimaryToken
, to jesteś SYSTEM.
Prawie niemożliwe jest zapobieżenie nadużywaniu wszystkich tych serwerów COM. Możesz pomyśleć o modyfikacji uprawnień tych obiektów za pomocą DCOMCNFG
, ale powodzenia, to będzie wyzwanie.
Rzeczywistym rozwiązaniem jest ochrona wrażliwych kont i aplikacji, które działają pod kontami * SERVICE
. Zatrzymanie DCOM
z pewnością uniemożliwiłoby to wykorzystanie, ale mogłoby mieć poważny wpływ na podstawowy system operacyjny.
Z: http://ohpe.it/juicy-potato/
Note: Visit this page for a list of CLSIDs to try.
Często domyślny CLSID, który używa JuicyPotato, nie działa i exploit się nie powodzi. Zwykle wymaga to wielu prób, aby znaleźć działający CLSID. Aby uzyskać listę CLSID do przetestowania dla konkretnego systemu operacyjnego, powinieneś odwiedzić tę stronę:
Najpierw będziesz potrzebować kilku plików wykonywalnych oprócz juicypotato.exe.
Pobierz Join-Object.ps1 i załaduj go do swojej sesji PS, a następnie pobierz i uruchom GetCLSID.ps1. Ten skrypt utworzy listę możliwych CLSID do przetestowania.
Następnie pobierz test_clsid.bat (zmień ścieżkę do listy CLSID i do pliku wykonywalnego juicypotato) i uruchom go. Rozpocznie on próby każdego CLSID, a gdy numer portu się zmieni, oznacza to, że CLSID zadziałał.
Sprawdź działające CLSID używając parametru -c
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)