JuicyPotato
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihr Tool kostenlos ausprobieren unter:
JuicyPotato funktioniert nicht auf Windows Server 2019 und Windows 10 ab Build 1809. Jedoch können PrintSpoofer, RoguePotato, SharpEfsPotato verwendet werden, um die gleichen Berechtigungen zu nutzen und Zugriff auf NT AUTHORITY\SYSTEM
zu erlangen. Überprüfen Sie:
Juicy Potato (Ausnutzung der goldenen Berechtigungen)
Eine gezuckerte Version von RottenPotatoNG, mit einem Schuss Saft, d.h. ein weiteres lokales Privileg-Eskalationstool, von einem Windows-Service-Konto zu NT AUTHORITY\SYSTEM
Sie können JuicyPotato von https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts herunterladen
Zusammenfassung
RottenPotatoNG und seine Varianten nutzen die Privileg-Eskalationskette basierend auf dem BITS
Dienst mit dem MiTM-Listener auf 127.0.0.1:6666
und wenn Sie SeImpersonate
oder SeAssignPrimaryToken
-Berechtigungen haben. Während einer Überprüfung des Windows-Builds fanden wir eine Konfiguration, bei der BITS
absichtlich deaktiviert war und der Port 6666
belegt war.
Wir beschlossen, RottenPotatoNG zu weaponisieren: Sagen Sie hallo zu Juicy Potato.
Für die Theorie, siehe Rotten Potato - Privileg-Eskalation von Service-Konten zu SYSTEM und folgen Sie der Kette von Links und Verweisen.
Wir entdeckten, dass neben BITS
mehrere COM-Server missbraucht werden können. Sie müssen nur:
vom aktuellen Benutzer instanziierbar sein, normalerweise ein "Service-Benutzer", der Übernahmeberechtigungen hat
das
IMarshal
-Interface implementierenals erhöhter Benutzer (SYSTEM, Administrator, …) ausgeführt werden
Nach einigen Tests haben wir eine umfangreiche Liste von interessanten CLSID's auf mehreren Windows-Versionen erhalten und getestet.
Saftige Details
JuicyPotato ermöglicht es Ihnen:
Ziel-CLSID wählen Sie beliebige CLSID aus. Hier finden Sie die Liste nach Betriebssystemen organisiert.
COM-Listening-Port definieren Sie den bevorzugten COM-Listening-Port (anstelle des marshallierten fest codierten 6666)
COM-Listening-IP-Adresse binden Sie den Server an eine beliebige IP
Prozesserstellungsmodus je nach den Übernahmeberechtigungen des imitierten Benutzers können Sie auswählen:
CreateProcessWithToken
(benötigtSeImpersonate
)CreateProcessAsUser
(benötigtSeAssignPrimaryToken
)beides
Zu startender Prozess starten Sie eine ausführbare Datei oder ein Skript, wenn die Ausnutzung erfolgreich ist
Prozessargument passen Sie die Argumente des gestarteten Prozesses an
RPC-Serveradresse für einen unauffälligen Ansatz können Sie sich an einen externen RPC-Server authentifizieren
RPC-Serverport nützlich, wenn Sie sich an einen externen Server authentifizieren möchten und die Firewall den Port
135
blockiert…TEST-Modus hauptsächlich für Testzwecke, d.h. Testen von CLSID's. Es erstellt den DCOM und gibt den Benutzer des Tokens aus. Siehe hier für Tests
Verwendung
Abschließende Gedanken
Aus der Readme von juicy-potato:
Wenn der Benutzer über SeImpersonate
- oder SeAssignPrimaryToken
-Berechtigungen verfügt, sind Sie SYSTEM.
Es ist nahezu unmöglich, den Missbrauch all dieser COM-Server zu verhindern. Sie könnten darüber nachdenken, die Berechtigungen dieser Objekte über DCOMCNFG
zu ändern, aber viel Glück, das wird eine Herausforderung sein.
Die eigentliche Lösung besteht darin, sensible Konten und Anwendungen zu schützen, die unter den * SERVICE
-Konten ausgeführt werden. Das Stoppen von DCOM
würde sicherlich diesen Exploit behindern, könnte jedoch ernsthafte Auswirkungen auf das zugrunde liegende Betriebssystem haben.
Von: http://ohpe.it/juicy-potato/
Beispiele
Hinweis: Besuchen Sie diese Seite für eine Liste von CLSIDs zum Ausprobieren.
Erhalten Sie eine nc.exe Reverse-Shell
Powershell Rückgängig
Starten Sie eine neue CMD (wenn Sie RDP-Zugriff haben)
CLSID-Probleme
Oft funktioniert die Standard-CLSID, die JuicyPotato verwendet, nicht und der Exploit schlägt fehl. Normalerweise sind mehrere Versuche erforderlich, um eine funktionierende CLSID zu finden. Um eine Liste von CLSIDs für ein bestimmtes Betriebssystem zu erhalten, sollten Sie diese Seite besuchen:
Überprüfen von CLSIDs
Zunächst benötigen Sie einige ausführbare Dateien neben juicypotato.exe.
Laden Sie Join-Object.ps1 herunter und laden Sie es in Ihre PS-Sitzung, und laden Sie GetCLSID.ps1 herunter und führen Sie es aus. Dieses Skript erstellt eine Liste möglicher CLSIDs zum Testen.
Laden Sie dann test_clsid.bat (ändern Sie den Pfad zur CLSID-Liste und zur juicypotato-Ausführungsdatei) herunter und führen Sie es aus. Es wird versuchen, jede CLSID auszuführen, und wenn sich die Portnummer ändert, bedeutet das, dass die CLSID funktioniert.
Überprüfen Sie die funktionierenden CLSIDs mit dem Parameter -c
Referenzen
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihre Suchmaschine kostenlos ausprobieren unter:
Last updated