JuicyPotato
WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za wizi.
Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.
Unaweza kuangalia tovuti yao na kujaribu injini yao bure hapa:
JuicyPotato haitafanyi kazi kwenye Windows Server 2019 na Windows 10 toleo la 1809 na baadaye. Hata hivyo, PrintSpoofer, RoguePotato, SharpEfsPotato inaweza kutumika kwa kutumia mamlaka sawa na kupata ufikiaji wa kiwango cha NT AUTHORITY\SYSTEM
. Angalia:
Juicy Potato (kutumia mamlaka ya dhahabu)
To leo tamu la RottenPotatoNG, na tone la maji, yaani zana nyingine ya Kupandisha Mamlaka ya Kienyeji, kutoka kwa Akaunti za Huduma za Windows hadi NT AUTHORITY\SYSTEM
Unaweza kupakua juicypotato kutoka https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts
Muhtasari
RottenPotatoNG na toleo lake linatumia mnyororo wa kupandisha mamlaka kulingana na BITS
huduma ikiwa na msikilizaji wa MiTM kwenye 127.0.0.1:6666
na unapokuwa na mamlaka ya SeImpersonate
au SeAssignPrimaryToken
. Wakati wa ukaguzi wa ujenzi wa Windows tuligundua usanidi ambapo BITS
ulizimwa kwa makusudi na bandari 6666
ilichukuliwa.
Tuliamua kuwezesha RottenPotatoNG: Sema habari kwa Juicy Potato.
Kwa nadharia, angalia Rotten Potato - Kupandisha Mamlaka kutoka kwa Akaunti za Huduma hadi SYSTEM na fuata mnyororo wa viungo na marejeo.
Tuligundua kwamba, zaidi ya BITS
kuna seva za COM kadhaa tunaweza kutumia vibaya. Wanahitaji tu:
iweze kuanzishwa na mtumiaji wa sasa, kawaida "mtumiaji wa huduma" ambaye ana mamlaka ya udanganyifu
tekeleza kiolesura cha
IMarshal
kufanya kazi kama mtumiaji aliyeinuliwa (SYSTEM, Msimamizi, …)
Baada ya majaribio tulipata na kujaribu orodha ndefu ya CLSID's za kuvutia kwenye toleo kadhaa za Windows.
Maelezo ya Juicy
JuicyPotato inakuruhusu:
Lengo la CLSID chagua CLSID yoyote unayotaka. Hapa unaweza kupata orodha iliyopangwa kulingana na OS.
Bandari ya Kusikiliza COM fafanua bandari ya kusikiliza COM unayopendelea (badala ya 6666 iliyowekwa kimakosa)
Anwani ya IP ya Kusikiliza COM funga seva kwenye IP yoyote
Hali ya Uumbaji wa Mchakato kulingana na mamlaka ya mtumiaji aliyejifanya unaweza kuchagua kutoka:
CreateProcessWithToken
(inahitajiSeImpersonate
)CreateProcessAsUser
(inahitajiSeAssignPrimaryToken
)zote mbili
Mchakato wa Kuzindua zindua faili inayoweza kutekelezwa au script ikiwa unyanyasaji unafanikiwa
Hoja ya Mchakato customize vigezo vya mchakato uliozinduliwa
Anwani ya Seva ya RPC kwa njia ya siri unaweza kuthibitisha kwa seva ya RPC ya nje
Bandari ya Seva ya RPC inayofaa ikiwa unataka kuthibitisha kwa seva ya nje na firewall inazuia bandari
135
…Hali ya MAJARIBIO hasa kwa madhumuni ya majaribio, yaani kujaribu CLSIDs. Inaunda DCOM na kuchapisha mtumiaji wa token. Angalia hapa kwa majaribio
Matumizi
Mawazo ya mwisho
Kutoka kwa Mwongozo wa juicy-potato:
Ikiwa mtumiaji ana ruhusa za SeImpersonate
au SeAssignPrimaryToken
basi wewe ni SYSTEM.
Ni karibu haiwezekani kuzuia matumizi mabaya ya seva zote hizi za COM. Unaweza kufikiria kuhusu kubadilisha ruhusa za vitu hivi kupitia DCOMCNFG
lakini kila la heri, hii itakuwa changamoto.
Suluhisho halisi ni kulinda akaunti na programu nyeti ambazo zinaendeshwa chini ya akaunti za * SERVICE
. Kusitisha DCOM
bila shaka kungezuia unyanyasaji huu lakini inaweza kuwa na athari kubwa kwa OS inayohusika.
Kutoka: http://ohpe.it/juicy-potato/
Mifano
Tahadhari: Tembelea ukurasa huu kwa orodha ya CLSIDs za kujaribu.
Pata kabibi ya nyuma ya nc.exe
Powershell rev
Powershell rev
Anzisha CMD mpya (ikiwa una ufikiaji wa RDP)
Matatizo ya CLSID
Maranyingi, CLSID ya msingi ambayo JuicyPotato inatumia haifanyi kazi na shambulio linashindwa. Kawaida, inachukua majaribio mengi kupata CLSID inayofanya kazi. Ili kupata orodha ya CLSIDs za kujaribu kwa mfumo wa uendeshaji fulani, unapaswa kutembelea ukurasa huu:
Kuangalia CLSIDs
Kwanza, utahitaji programu za kutekeleza zaidi ya juicypotato.exe.
Pakua Join-Object.ps1 na upakie kwenye kikao chako cha PS, na pakua na tekeleza GetCLSID.ps1. Skripti hiyo itaunda orodha ya CLSIDs inayoweza kujaribiwa.
Kisha pakua test_clsid.bat (badilisha njia ya orodha ya CLSID na kwa kutekelezeka kwa juicypotato) na tekeleza. Itaanza kujaribu kila CLSID, na wakati nambari ya bandari inabadilika, itamaanisha kwamba CLSID imefanya kazi.
Angalia CLSIDs zinazofanya kazi kwa kutumia parameter -c
Marejeo
WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za wizi.
Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na programu hasidi za kuiba habari.
Unaweza kutembelea tovuti yao na kujaribu injini yao kwa bure kwa:
Last updated