JuicyPotato
WhiteIntel ni injini ya utafutaji inayotumiwa na dark-web ambayo inatoa kazi za bure kuangalia ikiwa kampuni au wateja wake wamekuwa compromised na stealer malwares.
Lengo lao kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulizi ya ransomware yanayotokana na malware inayopora taarifa.
Unaweza kuangalia tovuti yao na kujaribu injini yao bure kwenye:
JuicyPotato haitumiki kwenye Windows Server 2019 na Windows 10 build 1809 kuendelea. Hata hivyo, PrintSpoofer, RoguePotato, SharpEfsPotato zinaweza kutumika ili kuongeza haki sawa na kupata ufikiaji wa kiwango cha NT AUTHORITY\SYSTEM
. Angalia:
Juicy Potato (kuabudu haki za dhahabu)
Versheni iliyopambwa ya RottenPotatoNG, ikiwa na juisi kidogo, yaani chombo kingine cha Kuongeza Haki za Mitaa, kutoka Akaunti za Huduma za Windows hadi NT AUTHORITY\SYSTEM
Unaweza kupakua juicypotato kutoka https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts
Muhtasari
Kutoka kwa juicy-potato Readme:
RottenPotatoNG na mabadiliko yake yanatumia mnyororo wa kuongeza haki kulingana na BITS
huduma ikiwa na msikilizaji wa MiTM kwenye 127.0.0.1:6666
na unapokuwa na haki za SeImpersonate
au SeAssignPrimaryToken
. Wakati wa ukaguzi wa toleo la Windows tuligundua usanidi ambapo BITS
ulikuwa umezimwa makusudi na bandari 6666
ilikuwa imechukuliwa.
Tuliamua kuunda silaha RottenPotatoNG: Sema hello kwa Juicy Potato.
Kwa nadharia, angalia Rotten Potato - Kuongeza Haki kutoka Akaunti za Huduma hadi SYSTEM na ufuate mnyororo wa viungo na rejeleo.
Tuligundua kwamba, mbali na BITS
kuna seva kadhaa za COM tunaweza kuabudu. Zinahitaji tu:
kuwa na uwezo wa kuanzishwa na mtumiaji wa sasa, kawaida "mtumiaji wa huduma" ambaye ana haki za kujiwakilisha
kutekeleza interface ya
IMarshal
kukimbia kama mtumiaji aliyeinuliwa (SYSTEM, Administrator, …)
Baada ya majaribio kadhaa tulipata na kujaribu orodha pana ya CLSID za kuvutia kwenye toleo kadhaa za Windows.
Maelezo ya Juicy
JuicyPotato inakuwezesha:
CLSID ya Lengo chagua CLSID yoyote unayotaka. Hapa unaweza kupata orodha iliyopangwa kwa OS.
Bandari ya Kusikiliza ya COM mwelekeo wa bandari ya kusikiliza ya COM unayopendelea (badala ya 6666 iliyohardcoded)
Anwani ya IP ya Kusikiliza ya COM fungua seva kwenye IP yoyote
Njia ya uundaji wa mchakato kulingana na haki za mtumiaji aliyejiwakilisha unaweza kuchagua kutoka:
CreateProcessWithToken
(inahitajiSeImpersonate
)CreateProcessAsUser
(inahitajiSeAssignPrimaryToken
)zote
Mchakato wa kuzindua anzisha executable au script ikiwa unyakuzi unafanikiwa
Argumenti za Mchakato binafsisha hoja za mchakato ulioanzishwa
Anwani ya Seva ya RPC kwa njia ya siri unaweza kujiandikisha kwa seva ya RPC ya nje
Bandari ya Seva ya RPC inafaa ikiwa unataka kujiandikisha kwa seva ya nje na firewall inazuia bandari
135
…MODE YA TESTI hasa kwa madhumuni ya majaribio, yaani, kujaribu CLSIDs. Inaunda DCOM na kuchapisha mtumiaji wa token. Angalia hapa kwa majaribio
Matumizi
Mawazo ya Mwisho
Kutoka kwa juicy-potato Readme:
Ikiwa mtumiaji ana SeImpersonate
au SeAssignPrimaryToken
ruhusa basi wewe ni SYSTEM.
Ni karibu haiwezekani kuzuia matumizi mabaya ya COM Servers hizi zote. Unaweza kufikiria kubadilisha ruhusa za vitu hivi kupitia DCOMCNFG
lakini bahati njema, hii itakuwa changamoto.
Suluhisho halisi ni kulinda akaunti na programu nyeti ambazo zinaendesha chini ya akaunti za * SERVICE
. Kuzuia DCOM
hakika kutazuia exploit hii lakini kunaweza kuwa na athari kubwa kwenye OS inayotegemea.
Kutoka: http://ohpe.it/juicy-potato/
Mifano
Kumbuka: Tembelea ukurasa huu kwa orodha ya CLSIDs za kujaribu.
Pata nc.exe reverse shell
Powershell rev
Launch a new CMD (if you have RDP access)
CLSID Problems
Mara nyingi, CLSID ya default ambayo JuicyPotato inatumia haifanyi kazi na exploit inashindwa. Kawaida, inachukua majaribio kadhaa kupata CLSID inayofanya kazi. Ili kupata orodha ya CLSIDs za kujaribu kwa mfumo maalum wa uendeshaji, unapaswa kutembelea ukurasa huu:
Checking CLSIDs
Kwanza, utahitaji baadhi ya executable mbali na juicypotato.exe.
Pakua Join-Object.ps1 na uipakie kwenye kikao chako cha PS, na pakua na uendeshe GetCLSID.ps1. Skripti hiyo itaunda orodha ya CLSIDs zinazowezekana za kujaribu.
Kisha pakua test_clsid.bat (badilisha njia ya orodha ya CLSID na kwa executable ya juicypotato) na uendeshe. Itaanza kujaribu kila CLSID, na wakati nambari ya bandari inabadilika, itamaanisha kwamba CLSID ilifanya kazi.
Angalia CLSIDs zinazofanya kazi ukitumia parameter -c
References
WhiteIntel ni injini ya utafutaji inayotumiwa na dark-web ambayo inatoa kazi za bure kuangalia ikiwa kampuni au wateja wake wamekuwa compromised na stealer malwares.
Lengo lao kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulizi ya ransomware yanayotokana na malware ya kuiba taarifa.
Unaweza kuangalia tovuti yao na kujaribu injini yao bure kwenye:
Last updated