JuicyPotato
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
JuicyPotato haitumiki kwenye Windows Server 2019 na Windows 10 build 1809 kuendelea. Hata hivyo, PrintSpoofer, RoguePotato, SharpEfsPotato zinaweza kutumika ili kuongeza haki sawa na kupata NT AUTHORITY\SYSTEM
kiwango cha ufikiaji. Angalia:
Toleo lililo na sukari la RottenPotatoNG, likiwa na juisi kidogo, yaani chombo kingine cha Kuongeza Haki za Mitaa, kutoka Akaunti za Huduma za Windows hadi NT AUTHORITY\SYSTEM_
Kutoka kwa juicy-potato Readme:
RottenPotatoNG na mifano zake zinatumia mnyororo wa kuongeza haki kulingana na BITS
huduma ikiwa na msikilizaji wa MiTM kwenye 127.0.0.1:6666
na unapokuwa na haki za SeImpersonate
au SeAssignPrimaryToken
. Wakati wa ukaguzi wa build ya Windows tuligundua usanidi ambapo BITS
ulikuwa umezimwa kwa makusudi na bandari 6666
ilikuwa imechukuliwa.
Tuliamua kuunda silaha RottenPotatoNG: Sema salamu kwa Juicy Potato.
Kwa nadharia, angalia Rotten Potato - Kuongeza Haki kutoka Akaunti za Huduma hadi SYSTEM na fuata mnyororo wa viungo na marejeleo.
Tuligundua kwamba, mbali na BITS
kuna seva kadhaa za COM tunaweza kuabudu. Zinahitaji tu:
kuwa na uwezo wa kuanzishwa na mtumiaji wa sasa, kawaida "mtumiaji wa huduma" ambaye ana haki za kujiwakilisha
kutekeleza interface ya IMarshal
kukimbia kama mtumiaji aliyeinuliwa (SYSTEM, Administrator, …)
Baada ya majaribio kadhaa tulipata na kujaribu orodha kubwa ya CLSID za kuvutia kwenye toleo mbalimbali za Windows.
JuicyPotato inakuwezesha:
CLSID ya Lengo chagua CLSID yoyote unayotaka. Hapa unaweza kupata orodha iliyopangwa kwa OS.
Bandari ya Kusikiliza ya COM mwelekeo wa bandari ya kusikiliza ya COM unayopendelea (badala ya 6666 iliyohardcoded)
Anwani ya IP ya Kusikiliza ya COM fungua seva kwenye IP yoyote
Njia ya uundaji wa mchakato kulingana na haki za mtumiaji aliyejiwakilisha unaweza kuchagua kutoka:
CreateProcessWithToken
(inahitaji SeImpersonate
)
CreateProcessAsUser
(inahitaji SeAssignPrimaryToken
)
zote
Mchakato wa kuzindua anzisha executable au script ikiwa unyakuzi unafanikiwa
Argumenti za Mchakato binafsisha hoja za mchakato ulioanzishwa
Anwani ya Seva ya RPC kwa njia ya siri unaweza kujiandikisha kwa seva ya RPC ya nje
Bandari ya Seva ya RPC inafaa ikiwa unataka kujiandikisha kwa seva ya nje na firewall inazuia bandari 135
…
MTIHANI wa hali hasa kwa madhumuni ya majaribio, yaani. kujaribu CLSIDs. Inaunda DCOM na kuchapisha mtumiaji wa token. Angalia hapa kwa majaribio
Ikiwa mtumiaji ana SeImpersonate
au SeAssignPrimaryToken
ruhusa basi wewe ni SYSTEM.
Ni karibu haiwezekani kuzuia matumizi mabaya ya COM Servers hizi zote. Unaweza kufikiria kubadilisha ruhusa za vitu hivi kupitia DCOMCNFG
lakini bahati njema, hii itakuwa changamoto.
Suluhisho halisi ni kulinda akaunti nyeti na programu ambazo zinafanya kazi chini ya akaunti za * SERVICE
. Kuzuia DCOM
hakika kutazuia exploit hii lakini kunaweza kuwa na athari kubwa kwenye OS inayotegemea.
From: http://ohpe.it/juicy-potato/
Note: Tembelea this page kwa orodha ya CLSIDs za kujaribu.
Mara nyingi, CLSID ya default ambayo JuicyPotato inatumia haifanyi kazi na exploit inashindwa. Kawaida, inachukua majaribio kadhaa kupata CLSID inayofanya kazi. Ili kupata orodha ya CLSIDs za kujaribu kwa mfumo maalum wa uendeshaji, unapaswa kutembelea ukurasa huu:
Kwanza, utahitaji baadhi ya executable mbali na juicypotato.exe.
Pakua Join-Object.ps1 na uipakie kwenye kikao chako cha PS, na pakua na uendeshe GetCLSID.ps1. Skripti hiyo itaunda orodha ya CLSIDs zinazowezekana za kujaribu.
Kisha pakua test_clsid.bat (badilisha njia ya orodha ya CLSID na kwa executable ya juicypotato) na uendeshe. Itaanza kujaribu kila CLSID, na wakati nambari ya bandari inabadilika, itamaanisha kwamba CLSID ilifanya kazi.
Angalia CLSIDs zinazofanya kazi ukitumia parameter -c
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)