search

JuicyPotato

chevron-right从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)arrow-up-righthashtag

hashtag
WhiteIntelarrow-up-right

WhiteIntelarrow-up-right是一个由暗网支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到窃取恶意软件威胁

WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。

您可以访问他们的网站并免费尝试他们的引擎:

LogoAdvance Dark web Monitoring and Threat Intelligence Platformwhiteintel.iochevron-right
circle-exclamation

JuicyPotato在 Windows Server 2019 和 Windows 10 版本1809之后不起作用。但是,可以使用PrintSpooferarrow-up-rightRoguePotatoarrow-up-rightSharpEfsPotatoarrow-up-right来利用相同的权限并获得NT AUTHORITY\SYSTEM级别的访问权限。查看:

RoguePotato, PrintSpoofer, SharpEfsPotato, GodPotatochevron-right

hashtag
Juicy Potato(滥用黄金特权)

一个经过加糖处理的 RottenPotatoNGarrow-up-right,带有一点果汁,即另一个本地权限提升工具,从Windows服务帐户提升到NT AUTHORITY\SYSTEM

hashtag
您可以从https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifactsarrow-up-right下载JuicyPotato

hashtag
摘要

从JuicyPotato自述文件中了解arrow-up-right:

RottenPotatoNGarrow-up-right及其变体arrow-up-right利用基于BITSarrow-up-right的特权升级链服务arrow-up-right127.0.0.1:6666上具有MiTM监听器,当您拥有SeImpersonateSeAssignPrimaryToken权限时。在Windows构建审查期间,我们发现了一个设置,其中BITS被故意禁用,端口6666被占用。

我们决定武装化RottenPotatoNGarrow-up-right欢迎Juicy Potato

欲了解理论,请参阅Rotten Potato - 从服务帐户提升到SYSTEM的特权提升arrow-up-right,并跟随链接和参考链。

我们发现,除了BITS外,还有几个COM服务器可以滥用。它们只需要:

  1. 可由当前用户(通常是具有模拟权限的“服务用户”)实例化

  2. 实现IMarshal接口

  3. 作为提升用户(SYSTEM、管理员等)运行

经过一些测试,我们获得并测试了在几个Windows版本上的广泛列表的有趣CLSIDarrow-up-right

hashtag
Juicy细节

JuicyPotato允许您:

  • 目标CLSID 选择任何您想要的CLSID。 这里arrow-up-right 您可以找到按操作系统组织的列表。

  • COM监听端口 定义您喜欢的COM监听端口(而不是已编组的硬编码6666)

  • COM监听IP地址 将服务器绑定到任何IP

  • 进程创建模式 根据模拟用户的权限,您可以选择:

  • CreateProcessWithToken(需要SeImpersonate

  • CreateProcessAsUser(需要SeAssignPrimaryToken

  • 两者

  • 要启动的进程 如果利用成功,启动可执行文件或脚本

  • 进程参数 自定义启动进程参数

  • RPC服务器地址 用于隐蔽操作,您可以对外部RPC服务器进行身份验证

  • RPC服务器端口 如果您想要对外部服务器进行身份验证且防火墙阻止端口135,则很有用…

  • 测试模式 主要用于测试目的,即测试CLSID。它创建DCOM并打印令牌的用户。查看 这里进行测试arrow-up-right

hashtag
用法

hashtag
总结

来自 juicy-potato 说明文档arrow-up-right:

如果用户具有 SeImpersonateSeAssignPrimaryToken 特权,则您将成为 SYSTEM

几乎不可能防止所有这些 COM 服务器的滥用。您可以考虑通过 DCOMCNFG 修改这些对象的权限,但祝你好运,这将是具有挑战性的。

实际解决方案是保护在 * SERVICE 帐户下运行的敏感帐户和应用程序。停止 DCOM 肯定会阻止此漏洞利用,但可能会对底层操作系统产生严重影响。

来源:http://ohpe.it/juicy-potato/arrow-up-right

hashtag
例子

注意:访问此页面arrow-up-right查看要尝试的 CLSID 列表。

hashtag
获取 nc.exe 反向 shell

hashtag
Powershell 反向 shell

hashtag
启动新的CMD(如果您有RDP访问权限)

hashtag
CLSID 问题

通常情况下,JuicyPotato使用的默认CLSID无法正常工作,导致利用失败。通常需要多次尝试才能找到一个有效的CLSID。要获取针对特定操作系统尝试的CLSID列表,您应该访问此页面:

https://ohpe.it/juicy-potato/CLSID/ohpe.itchevron-right

hashtag
检查CLSID

首先,您需要一些除了juicypotato.exe之外的可执行文件。

下载Join-Object.ps1arrow-up-right并将其加载到您的PS会话中,然后下载并执行GetCLSID.ps1arrow-up-right。该脚本将创建一个要测试的可能CLSID列表。

然后下载test_clsid.batarrow-up-right(更改路径到CLSID列表和juicypotato可执行文件)并执行它。它将开始尝试每个CLSID,当端口号更改时,表示CLSID有效

使用参数 -c 检查有效的CLSID。

hashtag
参考资料

hashtag
WhiteIntelarrow-up-right

WhiteIntelarrow-up-right是一个由暗网推动的搜索引擎,提供免费功能,用于检查公司或其客户是否受到窃取恶意软件威胁

WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。

您可以访问他们的网站并免费尝试他们的引擎:

LogoAdvance Dark web Monitoring and Threat Intelligence Platformwhiteintel.iochevron-right
chevron-right从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)arrow-up-righthashtag
上一页Integrity Levels下一页Leaked Handle Exploitation

最后更新于