JuicyPotato
WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客が盗難マルウェアによって侵害されていないかをチェックするための無料機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、無料でエンジンを試すことができます:
JuicyPotatoはWindows Server 2019およびWindows 10ビルド1809以降では動作しません。ただし、PrintSpoofer、RoguePotato、SharpEfsPotatoを使用して、同じ特権を利用してNT AUTHORITY\SYSTEM
レベルのアクセスを取得できます。_チェック:_
Juicy Potato(黄金特権の悪用)
RottenPotatoNG_の甘いバージョンで、つまり、WindowsサービスアカウントからNT AUTHORITY\SYSTEMへの別のローカル特権昇格ツール
https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifactsからjuicypotatoをダウンロードできます
概要
RottenPotatoNGおよびそのバリアントは、BITS
サービスに基づく特権昇格チェーンを活用し、MiTMリスナーが127.0.0.1:6666
で実行され、SeImpersonate
またはSeAssignPrimaryToken
特権を持っている場合に発生します。Windowsビルドのレビュー中に、BITS
が意図的に無効にされ、ポート6666
が使用されているセットアップを見つけました。
RottenPotatoNGを武器化することにしました:Juicy Potato登場。
理論については、Rotten Potato - サービスアカウントからSYSTEMへの特権昇格を参照し、リンクと参照先のチェーンをフォローしてください。
私たちは、BITS
以外にも悪用できるCOMサーバーがいくつかあることを発見しました。それらは単に次のようにする必要があります:
現在のユーザー(通常はインパーソネーション特権を持つ「サービスユーザー」)によってインスタンス化可能であること
IMarshal
インターフェースを実装すること昇格されたユーザー(SYSTEM、管理者、...)として実行すること
いくつかのテストの後、いくつかのWindowsバージョンで興味深いCLSIDのリストを取得してテストしました。
Juicyの詳細
JuicyPotatoを使用すると、次のことができます:
ターゲットCLSID 希望するCLSIDを選択します。 こちら でOSごとに整理されたリストを見つけることができます。
COMリスニングポート マーシャリングされたハードコードされた6666の代わりに好きなCOMリスニングポートを定義します
COMリスニングIPアドレス サーバーを任意のIPにバインドします
プロセス作成モード インパーソネーションユーザーの特権に応じて、次から選択できます:
CreateProcessWithToken
(SeImpersonate
が必要)CreateProcessAsUser
(SeAssignPrimaryToken
が必要)両方
起動するプロセス 悪用が成功した場合に実行する実行可能ファイルまたはスクリプトを起動します
プロセス引数 起動されるプロセスの引数をカスタマイズします
RPCサーバーアドレス ステルスアプローチのために、外部RPCサーバーに認証できます
RPCサーバーポート 外部サーバーに認証する場合で、ファイアウォールがポート
135
をブロックしている場合に便利です...TESTモード 主にテスト目的で、CLSIDsのテストに使用されます。DCOMを作成し、トークンのユーザーを印刷します。テストについては こちらを参照してください
使用法
最終的な考え
Juicy Potato Readme** から:**
ユーザーが SeImpersonate
または SeAssignPrimaryToken
特権を持っている場合、あなたは SYSTEM です。
これらのすべての COM サーバーの悪用を防ぐのはほぼ不可能です。これらのオブジェクトのアクセス許可を DCOMCNFG
を介して変更することを考えることができますが、成功を祈ります、これは挑戦的になるでしょう。
実際の解決策は、* SERVICE
アカウントの下で実行される機密アカウントおよびアプリケーションを保護することです。DCOM
を停止することは、確かにこのエクスプロイトを阻害するでしょうが、基礎となる OS に深刻な影響を与える可能性があります。
出典: http://ohpe.it/juicy-potato/
例
注意: 試すための CLSID のリストについては、このページ を参照してください。
nc.exe 逆シェルを取得
Powershell 逆
新しいCMDを起動する(RDPアクセスがある場合)
CLSIDの問題
しばしば、JuicyPotatoが使用するデフォルトのCLSIDは機能せず、エクスプロイトが失敗します。通常、動作するCLSIDを見つけるために複数の試行が必要です。特定のオペレーティングシステム用に試すためのCLSIDのリストを取得するには、このページを訪れる必要があります:
CLSIDsの確認
まず、juicypotato.exe以外のいくつかの実行可能ファイルが必要です。
Join-Object.ps1をダウンロードしてPSセッションにロードし、GetCLSID.ps1をダウンロードして実行します。そのスクリプトはテストする可能性のあるCLSIDのリストを作成します。
次に、test_clsid.bat (CLSIDリストへのパスとjuicypotato実行可能ファイルへのパスを変更してください)をダウンロードして実行します。すべてのCLSIDを試行し始め、ポート番号が変わると、CLSIDが機能したことを意味します。
パラメータ -cを使用して、動作するCLSIDを確認します
参考文献
WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客が盗難マルウェアによって侵害されていないかをチェックするための無料機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックし、無料でエンジンを試すことができます:
Last updated