JuicyPotato
WhiteIntel dark-web destekli bir arama motorudur ve şirketin veya müşterilerinin hırsız kötü amaçlı yazılımlar tarafından tehlikeye atılıp atılmadığını kontrol etmek için ücretsiz işlevler sunar.
WhiteIntel'in asıl amacı, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye saldırılarıyla mücadele etmektir.
Websitesini ziyaret edebilir ve motorlarını ücretsiz deneyebilirsiniz:
JuicyPotato, Windows Server 2019 ve Windows 10 sürümü 1809'dan sonrasında çalışmaz. Ancak, PrintSpoofer, RoguePotato, SharpEfsPotato aynı ayrıcalıkları kullanmak ve NT AUTHORITY\SYSTEM
seviyesine erişmek için kullanılabilir. Kontrol edin:
Juicy Potato (altın ayrıcalıklarını kötüye kullanma)
Biraz meyve suyu eklenmiş RottenPotatoNG'nin tatlandırılmış versiyonu, yani Windows Hizmet Hesaplarından NT AUTHORITY\SYSTEM'e başka bir Yerel Ayrıcalık Yükseltme aracı
Juicypotato'yu buradan indirebilirsiniz
Özet
Juicy-potato Readme'den** alıntı:**
RottenPotatoNG ve varyantları, BITS
servisine dayalı ayrıcalık yükseltme zincirini kaldırır, MiTM dinleyicisi 127.0.0.1:6666
üzerinde ve SeImpersonate
veya SeAssignPrimaryToken
ayrıcalıklarına sahip olduğunuzda. Bir Windows derlemesi incelemesi sırasında, BITS
'in kasıtlı olarak devre dışı bırakıldığı ve port 6666
'nın alındığı bir yapı bulduk.
RottenPotatoNG'yi silahlandırmaya karar verdik: Juicy Potato'ya hoş geldiniz.
Teori için Rotten Potato - Hizmet Hesaplarından SYSTEM'e Ayrıcalık Yükseltme ve bağlantıların ve referansların zincirini takip edin.
BITS
dışında, kötüye kullanabileceğimiz birkaç COM sunucusu olduğunu keşfettik. Sadece:
mevcut kullanıcı tarafından anında oluşturulabilir olmalıdır, genellikle bir "hizmet kullanıcısı" olup kimlik hırsızlığı ayrıcalıklarına sahiptir
IMarshal
arabirimini uygulamalıdıryükseltilmiş bir kullanıcı olarak çalışmalıdır (SYSTEM, Yönetici, …)
Bazı testlerden sonra, çeşitli Windows sürümlerinde ilginç CLSID'lerin kapsamlı bir listesini elde ettik ve test ettik.
Juicy detaylar
JuicyPotato size şunları yapmanızı sağlar:
Hedef CLSID istediğiniz herhangi bir CLSID'yi seçin. Buradan işletim sistemine göre düzenlenmiş listeyi bulabilirsiniz.
COM Dinleme portu sabitlenmiş 6666 yerine tercih ettiğiniz COM dinleme portunu tanımlayın
COM Dinleme IP adresi sunucuyu herhangi bir IP'ye bağlayın
İşlem oluşturma modu kimlik hırsızlığı yapan kullanıcının ayrıcalıklarına bağlı olarak seçebileceğiniz:
CreateProcessWithToken
(SeImpersonate
gerektirir)CreateProcessAsUser
(SeAssignPrimaryToken
gerektirir)her ikisi
Başlatılacak işlem saldırı başarılı olursa bir yürütülebilir dosya veya betik başlatın
İşlem Argümanı başlatılan işlem argümanlarını özelleştirin
RPC Sunucu adresi gizli bir yaklaşım için harici bir RPC sunucusuna kimlik doğrulayabilirsiniz
RPC Sunucu portu eğer bir güvenlik duvarı port
135
'i engelliyorsa harici bir sunucuya kimlik doğrulamak istiyorsanız faydalı olabilir…TEST modu genellikle test amaçlıdır, yani CLSID'leri test etmek için. DCOM oluşturur ve token kullanıcısını yazdırır. Test etmek için buraya bakın
Kullanım
Son düşünceler
Eğer kullanıcı SeImpersonate
veya SeAssignPrimaryToken
ayrıcalıklarına sahipse, o zaman SYSTEM olursunuz.
Tüm bu COM Sunucularının kötüye kullanımını engellemek neredeyse imkansızdır. Bu nesnelerin izinlerini DCOMCNFG
aracılığıyla değiştirmeyi düşünebilirsiniz ama başarılar, bu zor olacak.
Gerçek çözüm, * SERVICE
hesapları altında çalışan hassas hesapları ve uygulamaları korumaktır. DCOM
'u durdurmak kesinlikle bu saldırıyı engelleyecektir ancak altta yatan işletim sistemi üzerinde ciddi bir etkisi olabilir.
Kaynak: http://ohpe.it/juicy-potato/
Örnekler
Not: Denemek için CLSID'lerin bir listesi için bu sayfayı ziyaret edin.
Bir nc.exe ters kabuk alın
Powershell tersine
Yeni bir CMD başlatın (RDP erişiminiz varsa)
CLSID Sorunları
Genellikle, JuicyPotato'nun varsayılan CLSID'si çalışmaz ve güvenlik açığı başarısız olur. Genellikle, çalışan bir CLSID bulmak için birden fazla deneme yapmak gerekir. Belirli bir işletim sistemi için denemek için bir CLSID listesi almak için şu sayfayı ziyaret etmelisiniz:
CLSİD'leri Kontrol Etme
İlk olarak, juicypotato.exe dışında bazı yürütülebilir dosyalara ihtiyacınız olacak.
Join-Object.ps1'yi indirin ve PS oturumunuza yükleyin, ardından GetCLSID.ps1'yi indirin ve yürütün. Bu betik, test etmek için olası CLSID'lerin bir listesini oluşturacaktır.
Daha sonra test_clsid.bat'ı indirin(CLSID listesi ve juicypotato yürütülebilir dosyasının yolunu değiştirin) ve yürütün. Her CLSID'yi denemeye başlayacak ve port numarası değiştiğinde, bu CLSID'nin çalıştığı anlamına gelecektir.
Çalışan CLSID'leri parametre -c kullanarak kontrol edin
Referanslar
WhiteIntel, şirketin veya müşterilerinin hırsız kötü amaçlı yazılımlar tarafından kompromize edilip edilmediğini kontrol etmek için ücretsiz işlevsellikler sunan dark-web destekli bir arama motorudur.
WhiteIntel'in asıl amacı, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye yazılımı saldırılarıyla mücadele etmektir.
Websitesini ziyaret edebilir ve ücretsiz olarak motorlarını deneyebilirsiniz:
Last updated