JuicyPotato
WhiteIntel is 'n dark-web aangedrewe soekenjin wat gratis funksies bied om te kyk of 'n maatskappy of sy kliënte deur steel-malware gekompromitteer is.
Die primêre doel van WhiteIntel is om rekening-oorneeminge en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.
Jy kan hul webwerf besoek en hul enjin vir gratis probeer by:
JuicyPotato werk nie op Windows Server 2019 en Windows 10 bou 1809 en later nie. Nietemin kan PrintSpoofer, RoguePotato, SharpEfsPotato gebruik word om dieselfde voorregte te benut en NT AUTHORITY\SYSTEM
vlaktoegang te verkry. Kyk:
Juicy Potato (misbruik van die goue voorregte)
'n Gesuikerde weergawe van RottenPotatoNG, met 'n bietjie sap, d.w.s. 'n ander plaaslike voorreg-escalasie-instrument, van 'n Windows-diensrekening na NT AUTHORITY\SYSTEM
Jy kan juicypotato aflaai van https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts
Opsomming
RottenPotatoNG en sy variante benut die voorreg-escalasieketting gebaseer op BITS
diens met die MiTM-luisteraar op 127.0.0.1:6666
en wanneer jy SeImpersonate
of SeAssignPrimaryToken
voorregte het. Tydens 'n Windows-bouhersiening het ons 'n opstelling gevind waar BITS
opsetlik uitgeskakel was en poort 6666
geneem was.
Ons het besluit om RottenPotatoNG te bewapen: Sê hallo aan Juicy Potato.
Vir die teorie, sien Rotten Potato - Voorreg-escalasie vanaf Diensrekeninge na SYSTEM en volg die ketting van skakels en verwysings.
Ons het ontdek dat, behalwe BITS
, daar 'n paar COM-bedienerse is wat ons kan misbruik. Hulle moet net:
installeerbaar wees deur die huidige gebruiker, normaalweg 'n "diensgebruiker" wat impersonasievoorregte het
die
IMarshal
-koppelvlak implementeeras 'n verhewe gebruiker hardloop (SYSTEM, Administrateur, ...)
Na 'n bietjie toetsing het ons 'n uitgebreide lys van interessante CLSID's op verskeie Windows-weergawes verkry en getoets.
Sappige besonderhede
JuicyPotato laat jou toe om:
Teiken CLSID kies enige CLSID wat jy wil. Hier kan jy die lys georganiseer volgens OS vind.
COM-luisterpoort definieer die COM-luisterpoort wat jy verkies (in plaas van die gemarshalleerde hardgekoppelde 6666)
COM-luister-IP-adres bind die bediener aan enige IP
Proseskeuringsmodus afhangende van die geïmpersonaliseerde gebruiker se voorregte kan jy kies uit:
CreateProcessWithToken
(benodigSeImpersonate
)CreateProcessAsUser
(benodigSeAssignPrimaryToken
)beide
Proses om te begin begin 'n uitvoerbare lêer of skrifleer as die uitbuiting slaag
Prosesargument pas die beginproses-argumente aan
RPC-bedieneradres vir 'n sluipende benadering kan jy aanmeld by 'n eksterne RPC-bediener
RPC-bedienerpoort nuttig as jy wil aanmeld by 'n eksterne bediener en die firewall poort
135
blokkeer...TOETS-modus hoofsaaklik vir toetsdoeleindes, d.w.s. toetsing van CLSIDs. Dit skep die DCOM en druk die gebruiker van die token. Sien hier vir toetsing
Gebruik
Laaste gedagtes
As die gebruiker SeImpersonate
of SeAssignPrimaryToken
voorregte het, is jy SYSTEM.
Dit is amper onmoontlik om die misbruik van al hierdie COM-bediener te voorkom. Jy kan dalk dink om die toestemmings van hierdie voorwerpe te wysig via DCOMCNFG
maar sterkte daarmee, dit gaan 'n uitdaging wees.
Die werklike oplossing is om sensitiewe rekeninge en toepassings wat onder die * SERVICE
-rekeninge loop, te beskerm. Om DCOM
te stop sal hierdie uitbuiting sekerlik belemmer, maar dit kan 'n ernstige impak op die onderliggende bedryfstelsel hê.
Van: http://ohpe.it/juicy-potato/
Voorbeelde
Nota: Besoek hierdie bladsy vir 'n lys van CLSIDs om te probeer.
Kry 'n nc.exe omgekeerde dopshell
Powershell omgekeer
Begin 'n nuwe CMD (as jy RDP-toegang het)
CLSID Probleme
Dikwels werk die verstek CLSID wat JuicyPotato gebruik nie en misluk die uitbuiting. Gewoonlik neem dit verskeie pogings om 'n werkende CLSID te vind. Om 'n lys van CLSIDs te kry om te probeer vir 'n spesifieke bedryfstelsel, moet jy hierdie bladsy besoek:
Kontroleer CLSIDs
Eerstens, sal jy 'n paar uitvoerbare lêers benodig buite juicypotato.exe.
Laai Join-Object.ps1 af en laai dit in jou PS-sessie, en laai dan GetCLSID.ps1 af en voer dit uit. Daardie skripsie sal 'n lys van moontlike CLSIDs skep om te toets.
Laai dan test_clsid.bat (verander die pad na die CLSID-lys en na die juicypotato-uitvoerbare lêer) af en voer dit uit. Dit sal begin om elke CLSID te probeer, en wanneer die poortnommer verander, sal dit beteken dat die CLSID gewerk het.
Kontroleer die werkende CLSIDs deur die parameter -c te gebruik
Verwysings
WhiteIntel is 'n donkerweb-aangedrewe soekenjin wat gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte deur diefstal-malware gekompromitteer is.
Die primêre doel van WhiteIntel is om rekening-oorneemings en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.
Jy kan hul webwerf besoek en hul enjin gratis probeer by:
Last updated