JuicyPotato
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
JuicyPotato ne radi na Windows Server 2019 i Windows 10 verziji 1809 i novijim. Međutim, PrintSpoofer, RoguePotato, SharpEfsPotato mogu se koristiti za iskorišćavanje istih privilegija i dobijanje NT AUTHORITY\SYSTEM
nivo pristupa. Proverite:
Slađena verzija RottenPotatoNG, sa malo soka, tj. još jedan alat za lokalnu eskalaciju privilegija, od Windows servisnih naloga do NT AUTHORITY\SYSTEM
RottenPotatoNG i njene varijante koriste lanac eskalacije privilegija zasnovan na BITS
servisu koji ima MiTM slušalac na 127.0.0.1:6666
i kada imate SeImpersonate
ili SeAssignPrimaryToken
privilegije. Tokom pregleda Windows verzije otkrili smo postavku gde je BITS
namerno onemogućen i port 6666
je zauzet.
Odlučili smo da oružamo RottenPotatoNG: Pozdravite Juicy Potato.
Za teoriju, pogledajte Rotten Potato - Eskalacija privilegija od servisnih naloga do SYSTEM i pratite lanac linkova i referenci.
Otkrili smo da, osim BITS
, postoji nekoliko COM servera koje možemo zloupotrebiti. Oni samo treba da:
budu instancirani od strane trenutnog korisnika, obično "korisnika servisa" koji ima privilegije impersonacije
implementiraju IMarshal
interfejs
rade kao uzvišeni korisnik (SYSTEM, Administrator, …)
Nakon nekog testiranja dobili smo i testirali opsežnu listu zanimljivih CLSID-ova na nekoliko verzija Windows-a.
JuicyPotato vam omogućava da:
Ciljani CLSID izaberite bilo koji CLSID koji želite. Ovde možete pronaći listu organizovanu po OS-u.
COM slušalac port definišite COM slušalac port koji preferirate (umesto marširanog hardkodiranog 6666)
COM slušalac IP adresa vežite server na bilo koju IP adresu
Način kreiranja procesa u zavisnosti od privilegija impersoniranog korisnika možete izabrati:
CreateProcessWithToken
(potrebne SeImpersonate
)
CreateProcessAsUser
(potrebne SeAssignPrimaryToken
)
oba
Proces za pokretanje pokrenite izvršni fajl ili skriptu ako eksploatacija uspe
Argument procesa prilagodite argumente pokrenutog procesa
RPC Server adresa za diskretniji pristup možete se autentifikovati na eksterni RPC server
RPC Server port korisno ako želite da se autentifikujete na eksterni server i vatrozid blokira port 135
…
TEST mod pretežno za testiranje, tj. testiranje CLSID-ova. Kreira DCOM i štampa korisnika tokena. Pogledajte ovde za testiranje
Ako korisnik ima SeImpersonate
ili SeAssignPrimaryToken
privilegije, onda ste SYSTEM.
Skoro je nemoguće sprečiti zloupotrebu svih ovih COM servera. Možete razmisliti o modifikaciji dozvola ovih objekata putem DCOMCNFG
, ali srećno, ovo će biti izazovno.
Pravo rešenje je zaštititi osetljive naloge i aplikacije koje rade pod * SERVICE
nalozima. Zaustavljanje DCOM
bi sigurno sprečilo ovu eksploataciju, ali bi moglo imati ozbiljan uticaj na osnovni operativni sistem.
From: http://ohpe.it/juicy-potato/
Note: Visit this page for a list of CLSIDs to try.
Često, podrazumevani CLSID koji JuicyPotato koristi ne radi i eksploatacija ne uspeva. Obično je potrebno više pokušaja da se pronađe funkcionalni CLSID. Da biste dobili listu CLSID-ova koje treba isprobati za određeni operativni sistem, trebate posetiti ovu stranicu:
Prvo, biće vam potrebni neki izvršni fajlovi osim juicypotato.exe.
Preuzmite Join-Object.ps1 i učitajte ga u vašu PS sesiju, a zatim preuzmite i izvršite GetCLSID.ps1. Taj skript će kreirati listu mogućih CLSID-ova za testiranje.
Zatim preuzmite test_clsid.bat (promenite putanju do liste CLSID-ova i do juicypotato izvršnog fajla) i izvršite ga. Počeće da pokušava svaki CLSID, i kada se broj porta promeni, to će značiti da je CLSID radio.
Proverite funkcionalne CLSID-ove koristeći parametar -c
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)