JuicyPotato
WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.
Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi controllare il loro sito web e provare il loro motore gratuitamente su:
JuicyPotato non funziona su Windows Server 2019 e Windows 10 build 1809 in poi. Tuttavia, PrintSpoofer, RoguePotato, SharpEfsPotato possono essere utilizzati per sfruttare gli stessi privilegi e ottenere accesso di livello NT AUTHORITY\SYSTEM
. Controlla:
Juicy Potato (sfruttando i privilegi dorati)
Una versione zuccherata di RottenPotatoNG, con un po' di succo, ovvero un altro strumento di Escalation dei Privilegi Locali, da Account Servizio Windows a NT AUTHORITY\SYSTEM
Puoi scaricare juicypotato da https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts
Riassunto
RottenPotatoNG e le sue varianti sfruttano la catena di escalation dei privilegi basata sul servizio BITS
service avendo il listener MiTM su 127.0.0.1:6666
e quando si hanno i privilegi SeImpersonate
o SeAssignPrimaryToken
. Durante una revisione della build di Windows abbiamo trovato una configurazione in cui BITS
era intenzionalmente disabilitato e la porta 6666
era occupata.
Abbiamo deciso di rendere armaiolo RottenPotatoNG: Diamo il benvenuto a Juicy Potato.
Per la teoria, vedi Rotten Potato - Escalation dei Privilegi da Account Servizio a SYSTEM e segui la catena di link e riferimenti.
Abbiamo scoperto che, oltre a BITS
, ci sono diversi server COM che possiamo abusare. Devono solo:
essere istanziabili dall'utente corrente, di solito un "utente di servizio" che ha privilegi di impersonificazione
implementare l'interfaccia
IMarshal
essere eseguiti come utente elevato (SYSTEM, Amministratore, ...)
Dopo alcuni test abbiamo ottenuto e testato un'ampia lista di CLSID interessanti su diverse versioni di Windows.
Dettagli succulenti
JuicyPotato ti consente di:
Target CLSID scegli qualsiasi CLSID tu voglia. Qui puoi trovare l'elenco organizzato per OS.
Porta di ascolto COM definisci la porta di ascolto COM che preferisci (anziché il 6666 codificato in modo rigido)
Indirizzo IP di ascolto COM vincola il server su qualsiasi IP
Modalità di creazione del processo a seconda dei privilegi dell'utente impersonato puoi scegliere tra:
CreateProcessWithToken
(necessita diSeImpersonate
)CreateProcessAsUser
(necessita diSeAssignPrimaryToken
)entrambi
Processo da avviare avvia un eseguibile o script se l'exploit ha successo
Argomento del processo personalizza gli argomenti del processo avviato
Indirizzo del server RPC per un approccio stealthy puoi autenticarti a un server RPC esterno
Porta del server RPC utile se vuoi autenticarti a un server esterno e il firewall blocca la porta
135
...Modalità TEST principalmente per scopi di test, cioè testare i CLSID. Crea il DCOM e stampa l'utente del token. Vedi qui per il testing
Utilizzo
Pensieri finali
Se l'utente ha i privilegi SeImpersonate
o SeAssignPrimaryToken
allora sei SYSTEM.
È quasi impossibile prevenire l'abuso di tutti questi Server COM. Potresti pensare di modificare i permessi di questi oggetti tramite DCOMCNFG
ma buona fortuna, sarà una sfida.
La soluzione effettiva è proteggere gli account sensibili e le applicazioni che vengono eseguite con gli account * SERVICE
. Fermare DCOM
certamente inibirà questo exploit ma potrebbe avere un impatto serio sul sistema operativo sottostante.
Da: http://ohpe.it/juicy-potato/
Esempi
Nota: Visita questa pagina per una lista di CLSID da provare.
Ottenere una shell inversa con nc.exe
PowerShell rev
Avvia un nuovo CMD (se hai accesso RDP)
Problemi con CLSID
Spesso, il CLSID predefinito utilizzato da JuicyPotato non funziona e l'exploit fallisce. Di solito, sono necessari diversi tentativi per trovare un CLSID funzionante. Per ottenere un elenco di CLSID da provare per un sistema operativo specifico, dovresti visitare questa pagina:
Verifica dei CLSID
Innanzitutto, avrai bisogno di alcuni eseguibili diversi da juicypotato.exe.
Scarica Join-Object.ps1 e caricalo nella tua sessione PS, scarica ed esegui GetCLSID.ps1. Quello script creerà un elenco di possibili CLSID da testare.
Successivamente scarica test_clsid.bat (cambia il percorso dell'elenco CLSID e dell'eseguibile juicypotato) ed eseguilo. Inizierà a provare ogni CLSID e quando il numero di porta cambierà, significherà che il CLSID ha funzionato.
Verifica i CLSID funzionanti utilizzando il parametro -c
Riferimenti
WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.
Il loro obiettivo principale è contrastare le violazioni degli account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi visitare il loro sito web e provare il loro motore gratuitamente su:
Last updated