Сочни с картошкой
Картофельные сочни рецепт – русская кухня: основные блюда. «Еда»
Картофель 600 г
Куриное яйцо 2 штуки
Сливочное масло 150 г
Пшеничная мука 1 столовая ложка
Шампиньоны 300 г
Репчатый лук 1 штука
Сметана 100 г
Панировочные сухари 50 г
Растительное масло 30 мл
ohpe / juicy-potato: засахаренная версия RottenPotatoNG с небольшим количеством сока, то есть еще один инструмент повышения локальных привилегий, из учетных записей служб Windows в NT AUTHORITY \ SYSTEM.
перейти к содержанию Зарегистрироваться- Почему именно GitHub? Особенности →
- Обзор кода
- Управление проектами
- Интеграции
- Действия
- Пакеты
- Безопасность
- Управление командой
- Хостинг
- мобильный
- Истории клиентов →
- Безопасность →
- Команда
- Предприятие
- Проводить исследования
- Изучить GitHub →
Учитесь и вносите свой вклад
Juicy Potato (злоупотребление золотыми привилегиями)
Сахарная версия RottenPotatoNG с небольшим количеством сока, то есть другой инструмент повышения локальных привилегий, из учетных записей служб Windows в NT AUTHORITY \ SYSTEM
Сводка
RottenPotatoNG и его варианты используют цепочку повышения привилегий на основе службы BITS
, имеющей прослушиватель MiTM на 127.0.0.1:6666
и когда у вас есть привилегии SeImpersonate
или SeAssignPrimaryToken
.Во время обзора сборки Windows мы обнаружили установку, в которой BITS
был намеренно отключен, а порт 6666
был занят.
Мы решили использовать в качестве оружия RottenPotatoNG: Передайте привет Juicy Potato .
Теоретически см. Rotten Potato - Повышение привилегий от учетных записей служб до SYSTEM и проследите цепочку ссылок и ссылок.
Мы обнаружили, что помимо BITS
есть несколько COM-серверов, которыми мы можем злоупотреблять.Им просто необходимо:
- ,
- , может быть создан текущим пользователем, обычно "пользователем службы", имеющим права олицетворения
- реализовать интерфейс
IMarshal
- запускается как пользователь с повышенными привилегиями (СИСТЕМА, администратор,…)
После некоторого тестирования мы получили и протестировали обширный список интересных CLSID в нескольких версиях Windows.
Сочные детали
JuicyPotato позволяет:
-
Target CLSID
выберите любой CLSID, который хотите.Здесь вы можете найти список, организованный по ОС. -
COM-порт прослушивания
определите COM-порт прослушивания, который вы предпочитаете (вместо упорядоченного жестко запрограммированного 6666) -
COM Прослушивание IP-адреса
привязать сервер к любому IP - Режим создания процесса
в зависимости от привилегий олицетворенного пользователя, вы можете выбрать один из:-
CreateProcessWithToken
(требуетсяSeImpersonate
) -
CreateProcessAsUser
(требуетсяSeAssignPrimaryToken
) -
оба
-
-
Процесс запуска
запуск исполняемого файла или скрипта, если эксплуатация прошла успешно -
Аргумент процесса
Настройка аргументов запущенного процесса -
Адрес сервера RPC
для скрытого подхода, вы можете аутентифицироваться на внешнем сервере RPC -
Порт сервера RPC
полезно, если вы хотите пройти аутентификацию на внешнем сервере, а брандмауэр блокирует порт135
… - ТЕСТ
в основном для целей тестирования, т.е.е. тестирование CLSID. Он создает DCOM и печатает пользователя токена. См. Здесь для тестирования
Использование
T: \> JuicyPotato.exe JuicyPotato v0.1 Обязательные аргументы: -t createprocess call: CreateProcessWithTokenW, CreateProcessAsUser, <*> попробуйте оба -p <программа>: программа для запуска -l <порт>: порт прослушивания COM-сервера Необязательные аргументы: -m
: адрес прослушивания COM-сервера (по умолчанию 127.0.0.1) -a <аргумент>: аргумент командной строки для передачи программе (по умолчанию NULL) -k : IP-адрес RPC-сервера (по умолчанию 127.0.0.1) -n <порт>: порт прослушивания сервера RPC (по умолчанию 135) -c <{clsid}>: CLSID (БИТЫ по умолчанию: {4991d34b-80a1-4291-83b6-3328366b9097}) -z только проверить CLSID и распечатать токен пользователя
Пример
Заключительные мысли
Если у пользователя есть права SeImpersonate
или SeAssignPrimaryToken
, то вы SYSTEM .
Практически невозможно предотвратить злоупотребление всеми этими COM-серверами. Вы можете подумать об изменении разрешений этих объектов через DCOMCNFG
, но удачи, это будет сложно.
Фактическое решение - защитить конфиденциальные учетные записи и приложения, которые работают под учетными записями * SERVICE
. Остановка DCOM
, безусловно, заблокирует этот эксплойт, но может серьезно повлиять на базовую ОС.
Двоичные файлы
Доступна автоматическая сборка. Бинарные файлы можно скачать в разделе Артефакты здесь.
Также доступен в BlackArch.
Авторы
Список литературы
.ivanitlearning / Juicy-Potato-x86: Juicy Potato для x86 Windows
перейти к содержанию Зарегистрироваться- Почему именно GitHub? Особенности →
- Обзор кода
- Управление проектами
- Интеграции
- Действия
- Пакеты
- Безопасность
- Управление командой
- Хостинг
- мобильный
- Истории клиентов →
- Безопасность →
- Команда
- Предприятие
- Проводить исследования
- Изучить GitHub →
Учитесь и вносите свой вклад
- Темы
Страница не найдена · GitHub · GitHub
перейти к содержанию Зарегистрироваться- Почему именно GitHub? Особенности →
- Обзор кода
- Управление проектами
- Интеграции
- Действия
- Пакеты
- Безопасность
- Управление командой
- Хостинг
- мобильный
- Истории клиентов →
- Безопасность →
- Команда
- Предприятие
- Проводить исследования