JuicyPotato
JuicyPotato не працює на Windows Server 2019 та Windows 10 з версії 1809 і вище. Однак, PrintSpoofer, RoguePotato, SharpEfsPotato можуть бути використані для використання тих самих привілеїв та отримання доступу на рівні NT AUTHORITY\SYSTEM
. Перевірте:
Juicy Potato (зловживання золотими привілеями)
Це підсолений варіант RottenPotatoNG, з трохи соку, тобто інструмент локального підвищення привілеїв, від облікових записів служб Windows до NT AUTHORITY\SYSTEM
Ви можете завантажити juicypotato з https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts
Огляд
RottenPotatoNG та його варіанти використовують ланцюжок підвищення привілеїв на основі служби BITS
service з MiTM слухачем на 127.0.0.1:6666
та коли у вас є привілеї SeImpersonate
або SeAssignPrimaryToken
. Під час перегляду збірки Windows ми виявили налаштування, де BITS
був навмисно вимкнений, а порт 6666
був зайнятий.
Ми вирішили збройовати RottenPotatoNG: Привітайте Juicy Potato.
Для теорії дивіться Rotten Potato - Підвищення привілеїв від облікових записів служби до SYSTEM та слідуйте ланцюжку посилань та посилань.
Ми виявили, що, крім BITS
, існує кілька COM-серверів, які ми можемо зловживати. Їм просто потрібно:
бути інстанційованими поточним користувачем, зазвичай "службовим користувачем", який має привілеї імперсонації
реалізувати інтерфейс
IMarshal
працювати як підвищений користувач (SYSTEM, Адміністратор, ...)
Після деяких тестів ми отримали та протестували вичерпний список цікавих CLSID на кількох версіях Windows.
Деталі Juicy
JuicyPotato дозволяє вам:
Цільовий CLSID виберіть будь-який CLSID, який ви хочете. Тут ви можете знайти список, організований за ОС.
Порт прослуховування COM визначте порт прослуховування COM, який вам до вподоби (замість маршалізованого жорстко закодованого 6666)
IP-адреса прослуховування COM прив'яжіть сервер до будь-якої IP-адреси
Режим створення процесу залежно від привілеїв імперсонації користувача ви можете вибрати з:
CreateProcessWithToken
(потрібноSeImpersonate
)CreateProcessAsUser
(потрібноSeAssignPrimaryToken
)обидва
Процес для запуску запустіть виконуваний файл або скрипт, якщо експлуатація вдається
Аргумент процесу налаштуйте аргументи запущеного процесу
Адреса сервера RPC для прихованого підходу ви можете аутентифікуватися на зовнішньому сервері RPC
Порт сервера RPC корисно, якщо ви хочете аутентифікуватися на зовнішньому сервері і брандмауер блокує порт
135
...Режим ТЕСТУВАННЯ головним чином для тестування, тобто тестування CLSID. Він створює DCOM та друкує користувача токена. Дивіться тут для тестування
Використання
Заключні думки
Якщо у користувача є привілеї SeImpersonate
або SeAssignPrimaryToken
, то ви SYSTEM.
Практично неможливо запобігти зловживанню всіма цими COM-серверами. Ви можете подумати про зміну дозволів цих об'єктів через DCOMCNFG
, але вдачі, це буде складно.
Фактичне рішення полягає в захисті чутливих облікових записів та програм, які працюють під обліковими записами * SERVICE
. Зупинка DCOM
безперечно унеможливить цей експлойт, але може серйозно вплинути на основну операційну систему.
З: http://ohpe.it/juicy-potato/
Приклади
Примітка: Відвідайте цю сторінку для списку CLSID, які можна спробувати.
Отримати обернену оболонку nc.exe
Powershell рев
Запустіть новий CMD (якщо у вас є доступ RDP)
Проблеми з CLSID
Дуже часто, типовий CLSID, який використовує JuicyPotato, не працює, і експлойт не вдається. Зазвичай потрібно кілька спроб, щоб знайти працюючий CLSID. Щоб отримати список CLSID для спроби на конкретній операційній системі, вам слід відвідати цю сторінку:
Перевірка CLSID
Спочатку вам знадобляться деякі виконувані файли окрім juicypotato.exe.
Завантажте Join-Object.ps1 та завантажте його в сеанс PS, а також завантажте та виконайте GetCLSID.ps1. Цей скрипт створить список можливих CLSID для тестування.
Потім завантажте test_clsid.bat (змініть шлях до списку CLSID та до виконуваного файлу juicypotato) та виконайте його. Він почне спробувати кожен CLSID, і коли номер порту зміниться, це означатиме, що CLSID працює.
Перевірте працюючі CLSID за допомогою параметра -c
Посилання
Last updated