Potato提权(原理简述)

最新推荐文章于 2024-05-05 18:57:15 发布
最新推荐文章于 2024-05-05 18:57:15 发布
阅读量1k 收藏 10
点赞数 19
分类专栏: 渗透 操作系统 文章标签: 网络安全 信息安全 系统安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/135290115
版权

文章目录

WebShell提权简述
在红蓝对抗过程中Web打点之后往往需要进行提权才能进行横向操作,
本篇文章讲解WebShell的场景提权手法以及提权原理分析。
本篇文章讲解的BadPotato/PipePotato 提权。
Windows下常见土豆提权:
	BadPotato、EfsPotato、GodPotato、RoguePotato、SweetPotato、
	PrintNotifyPotato、RottenPotato、JuicyPotato
Potato提权(原理简述)
为了大家方便理解土豆提权下面对土豆提权的原理进行简述,详细细节大家可以自行搜索。
使用Potato提权都需要下列两个特权中的一个。
1.SeImpersonatePrivilege(替换一个进程级令牌)
2.SeAssignPrimaryTokenPrivilege (身份验证后模拟客户端)
正常情况下服务账号具有的特权如下。

在这里插入图片描述

下面讲述这两个特权
SeImpersonatePrivilege:
	微软的描述信息如下

微软链接
在这里插入图片描述

可以看到具有服务控制管理器启动的服务以及特定账号下运行的COM服务器具有该特权,一般情况下如IIS就是通过
服务控制管理器启动的服务因此具有SeImpersonatePrivilege特权,那么SeImpersonatePrivilege特权具有什么用呢,
下面继续查询微软文档。

授权权限常量
在这里插入图片描述

可以看到根据微软描述SeImpersonatePrivilege属于用户权限并且具有在身份验证后模拟客户端的特权。
什么是身份验证后模拟特权呢,这里举一个例子Token关于Token的内容就不具体展开讲了感兴趣的小伙伴,
可以自行网上搜索简单来说Token就是一个数据结构,用于表示进程或线程的安全上下文,在 Windows 中,
身份验证通常通过用户名和密码进行,当用户成功登录时,操作系统将创建一个包含用户安全上下文信息
的 TOKEN,这里登录成功的Token就是身份验证后的令牌,因此可以简单理解为SeImpersonatePrivilege
特权具有模拟验证身份后的能力,比如模拟Token,下面继续查看那些API会使用到SE_IMPERSONATE_NAME
即SeImpersonatePrivilege特权。

在这里插入图片描述
CreateProcessWithTokenW
在这里插入图片描述

可以看到CreateProcessWithTokenW是具有SeImpersonatePrivilege特权才能够使用的函数也就是说,可以通过
该API以模拟Token的运行一个新的进程,下面来看看另一个SeAssignPrimaryTokenPrivilege特权。
SeAssignPrimaryTokenPrivilege:
	下面是微软对该特权的描述该特权意思是具有替换进程级令牌特权。

在这里插入图片描述
Replace a process level token
在这里插入图片描述
在这里插入图片描述

根据上述微软描述可以看到SeAssignPrimaryTokenPrivilege特权是可以给新进程分配Token模拟Token等,
替换进程令牌特权的默认用户有本地服务和网络服务用户,那么都有那些API需要这些特权呢。

在这里插入图片描述

CreateProcessAsUserA使用了SeAssignPrimaryTokenPrivilege特权可以创建一个新的进程并
指定Token运行安全上下文,可以理解为使用一个高权限Token运行一个新进程从而实现提权,
当然还有很多API也使用了SeAssignPrimaryTokenPrivilege特权,但是本片文章探讨的是提权
因此不过多深入感兴趣的朋友们可以自行搜索。

在这里插入图片描述

那么Windows提权重要的API以及特权已经进行了简单讲解那么下面将正式开始讲解Potato提权。
PrintSpoofer (BadPotato/PipePotato )原理分析
参考文章:https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/
下面对PrintSpoofer原理进行简述讲解,PrintSpoofer利用了SeImpersonatePrivilege(替换一个进程级令牌)特权,
用ImpersonateNamedPipeClient API进行命名管道模拟用户。
实例代码:

// 定义一个命名管道句柄、管道名称、安全描述符、安全属性和令牌句柄。
HANDLE hPipe = INVALID_HANDLE_VALUE;
LPWSTR pwszPipeName = argv[1];
SECURITY_DESCRIPTOR sd = { 0 };
SECURITY_ATTRIBUTES sa = { 0 };
HANDLE hToken = INVALID_HANDLE_VALUE;

// 初始化安全描述符。
if (!InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION))
{
    wprintf(L"InitializeSecurityDescriptor() 失败。错误:%d - ", GetLastError());
    PrintLastErrorAsText(GetLastError());
    return -1;
}

// 将安全描述符字符串转换为安全描述符。
if (!ConvertStringSecurityDescriptorToSecurityDescriptor(L"D:(A;OICI;GA;;;WD)", SDDL_REVISION_1, &((&sa)->lpSecurityDescriptor), NULL))
{
    wprintf(L"ConvertStringSecurityDescriptorToSecurityDescriptor() 失败。错误:%d - ", GetLastError());
    PrintLastErrorAsText(GetLastError());
    return -1;
}

// 如果创建命名管道成功
if ((hPipe = CreateNamedPipe(pwszPipeName, PIPE_ACCESS_DUPLEX, PIPE_TYPE_BYTE | PIPE_WAIT, 10, 2048, 2048, 0, &sa)) != INVALID_HANDLE_VALUE)
{
    wprintf(L"[*] 命名管道 '%ls' 正在监听...\n", pwszPipeName);
    ConnectNamedPipe(hPipe, NULL);
    wprintf(L"[+] 有客户端连接!\n");

    // 如果模拟成功
    if (ImpersonateNamedPipeClient(hPipe)) {

        // 如果打开线程令牌成功
        if (OpenThreadToken(GetCurrentThread(), TOKEN_ALL_ACCESS, FALSE, &hToken)) {

            // 打印令牌用户SID和名称
            PrintTokenUserSidAndName(hToken);
            // 打印令牌模拟级别
            PrintTokenImpersonationLevel(hToken);
            // 打印令牌类型
            PrintTokenType(hToken);

            // 在模拟的用户上执行某些操作
            DoSomethingAsImpersonatedUser();

            CloseHandle(hToken);
        }
        else
        {
            wprintf(L"OpenThreadToken() 失败。错误:%d - ", GetLastError());
            PrintLastErrorAsText(GetLastError());
        }
    }
    else
    {
        wprintf(L"ImpersonateNamedPipeClient() 失败。错误:%d - ", GetLastError());
        PrintLastErrorAsText(GetLastError());
    }
    
    // 关闭命名管道句柄
    CloseHandle(hPipe);
}
else
{
    wprintf(L"CreateNamedPipe() 失败。错误:%d - ", GetLastError());
    PrintLastErrorAsText(GetLastError());
}


通过Printer Bug 利用SpoolSample,打印机窃取system Token,使用了Print Spooler 服务公开的函数,
RpcRemoteFindFirstPrinterChangeNotificationEx,进行向打印客户端发送更改通知,通知是通过RPC
匿名管道, RPC 接口是通过命名管道公开的:\\.\pipe\spoolss的正常情况下UNC路径会被占用使用\进
行分割,使用/通过路径验证检查比如\\DESKTOP-ASD29\abc\pipe\spoolss被使用验证路径失败改为,
\\DESKTOP-ASD29/pipe/abc则会自动转换为\\\DESKTOP-ASD29\pipe\abc\pipe\spoolss转为一个新有效
的路径并绕过路径检查获取SpoolSample系统Token获取模拟令牌进行提权。
PrintSpoofer (BadPotato/PipePotato )提权姿势
利用exp github地址
https://github.com/itm4n/PrintSpoofer

在这里插入图片描述
在这里插入图片描述

可以看到成功将计算器提升到system权限,从上面的原理简述中可以看到PrintSpoofer利用了打印机进程spoolsv.exe
如果spoolsv.exe进程被关了就算拥有SeImpersonatePrivilege特权也无法进行权限提升。

在这里插入图片描述

可以看到提权失败了因为spoolsv.exe被关闭了。
PrintSpoofer(BadPotato/PipePotato ) 总结
1.PrintSpoofer 滥用了SeImpersonatePrivilege(替换一个进程级令牌)特权。
2.利用spoolsv.exe进程因此必须存在否则提权失败。
虚构之人
关注
  • 19
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Vulnhub篇potato.zip
01-12
Vulnhub篇potato靶机,靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的过程文档,供大家参考学习
Potato家族本地提权细节
weixin_44216796的博客
12-28 2822
本文结合POC源码,研究Potato家族本地提权细节 Feature or vulnerability 该提权手法的前提是拥有SeImpersonatePrivilege或SeAssignPrimaryTokenPrivilege权限,以下用户拥有SeImpersonatePrivilege权限(而只有更高权限的账户比如SYSTEM才有SeAssignPrimaryTokenPrivilege权限): 本地管理员账户(不包括管理员组普通账户)和本地服务帐户 由SCM启动的服务 P.s. 本机测试时即使在
Potato提权小结
wo41ge的博客
11-11 1万+
前言 当我们拿到webshell 却苦于无法提权 早之前有巴西烤肉提权,有pr提权 今天 来一个土豆提权合集 妈妈再也不担心我的webshell无法提权了 Hot Potato 前言 利用 Windows 中的已知问题在默认配置中获得本地权限提升 即 NTLM 中继(特别是 HTTP->SMB 中继)和 NBNS 欺骗 攻击者可以在安装了Windows操作系统的工作站中将自己的低权限提升至NT AUTHORITY\SYSTEM 影响范围 Windows 7、8、10、Server 2008 和 Ser
权限提升-Windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选
siu~
03-23 981
1、Web到Win-系统提权-土豆家族 2、Web到Win-系统提权-人工操作
potato
03-16
土豆 -------------------------------------------
RoguePotato:从服务帐户到系统的另一次Windows本地特权升级
03-11
盗贼土豆 从服务帐户到系统的另一次Windows本地特权升级。 有关详细信息,请访问-> 用法 RoguePotato @splinter_code & @decoder_it Mandatory args: -r remote_ip: ip of the remote machine to use as redirector -e commandline: commandline of the program to launch Optional args: -l listening_port: This will run the RogueOxidResolver locally on the specified port -c {clsid}: CLSID (default BITS:{4991d34b-80a1-4291-83b6-3328366b
BadPotato:Windows权限提升BadPotato
03-19
土豆 Windows 2012-2019 Windows 8-10 引用
土豆 (ms16-075) 提权方法
yy
03-11 9717
所谓的烂土豆提权就是俗称的MS16-075,其是一个本地提权,是针对本地用户的,不能用于域用户。可以将Windows工作站上的特权从最低级别提升到“ NT AUTHORITY \ SYSTEM” – Windows计算机上可用的最高特权级别。
Potato家族提权学习
include_voidmain的博客
10-24 979
Potato家族提权学习
windows提权之本地溢出漏洞提权
m0_62207170的博客
03-17 899
windows提权之本地溢出漏洞提权
土豆Juicypotato提权原理和利用
热门推荐
god_Zeo的安全博客
05-25 1万+
0x00 Potato(烂土豆提权原理: 所谓的烂土豆提权就是俗称的MS16-075 可以将Windows工作站上的特权从最低级别提升到“ NT AUTHORITY \ SYSTEM” – Windows计算机上可用的最高特权级别。 一、简单的原理: 攻击者可以诱骗用户尝试使用NTLM对他的计算机进行身份验证,则他可以将该身份验证尝试中继到另一台计算机! Microsoft通过使用已经进行的质询来禁止同协议NTLM身份验证来对此进行修补。这意味着从一个主机回到自身的SMB-> SMB NTLM中继
potatoInstaller.exe potato potatochat
03-03
potatoInstaller.exe potato potatochat
Seed Potato Technology
05-13
The potato is one of the most important food crops in the world. This statement can be illustrated by the following facts. First of all, the potato crop is grown on a significant scale in more than 130 countries. Secondly, potato tubers are consumed by one billion people worldwide. Finally, one third of the total world production originates from developing countries.
POTATO
03-31
土豆 来自波旁战争成员的令人满意的mod 特征: 为我们的任务框架提供支持 加载量 BFT标记 观众 ACRE无线电配置 管理员工具 针对我们社区的游戏性调整 执照 该项目是完全开源的,欢迎所有贡献。 只要您所做的更改根据GNU通用公共许可证( )向公众开放,就可以随时维护自己的自定义版本。 没有计划发布任何版本,但是欢迎每个人从源头构建并适应他们自己的需求。 请注意,它可能需要和开发版本
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8202
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
系统安全及应用
weixin_52142961的博客
04-29 885
PAM:Pluggable Authentication Modules,插件式的验证模块,Sun公司于1995 年开发的一种与认证相关的通用框架机制。PAM。
系统安全与应用【2】
最新发布
2401_83330816的博客
05-05 551
TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。这种类型的扫描可间接检测防火墙的健壮性。TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型)用来建立一个TCP连接,如果成功则认为目标端口正在监听服务。跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法 ping通而放弃扫描。
内网安全【1】——域信息收集/应用网络凭证/CS插件/Android/BloodHound
weixin_42090431的博客
04-28 980
因此,域中的计算机本地管理员账号,极有可能能够登陆域中较多的计算机,本地管理员的密码在服务器上后期修改的概率,远低于在个人办公电脑上的概率,而域用户权限是较低的,是无法在域成员主机上安装软件的,这将会发生下面的一幕:某个域用户需要使用viso软件进行绘图操作,于是联系网络管理员进行安装,网络管理员采用域管理员身份登录了域成员主机,并帮助其安装了viso软件,于是这个有计算机基础的员工,切换身份登录到了本地计算机的管理员,后执行mimikatz,从内存当中抓取了域管理员的密码,便成功的控制了整个域。
保护通信的双重安全:消息认证与身份认证
JAZJD的博客
04-28 1571
网络通信中,散列函数扮演着至关重要的角色。散列函数是一种将任意长度的数据转换成固定长度散列值的算法。这种转换过程是单向的,即无法通过散列值逆向推导出原始数据。常见的散列函数包括MD5、SHA-1和SHA-256等。例如,SHA-256能够将任意长度的数据转换成256位的散列值,具有较高的安全性和抗碰撞性。消息认证是确保通信数据完整性和真实性的重要手段。通过在数据中添加消息认证码(MAC),可以防止数据被篡改或伪造。常见的消息认证算法包括HMAC(基于散列的消息认证码)和CMAC(密码消息认证码)等。
juicy potato原理
05-12
Juicy Potato 是一种 Windows 特权升级攻击技术,它利用了 Windows 中的一些特殊功能和漏洞来实现攻击者以 SYSTEM(最高权限)权限运行程序。其原理如下: 1. Juicy Potato 利用 Windows 中的 DCOM(分布式组件对象模型)服务和 NTLM(Windows NT LAN Manager)协议进行攻击。 2. DCOM 是 Windows 中的一个组件对象模型,可用于远程管理应用程序。攻击者可以在目标机器上创建一个 COM 对象,并使用 DCOM 连接到该对象。攻击者可以通过设置该 COM 对象的访问权限,使其只能由 SYSTEM 用户启动。 3. NTLM 是 Windows 中的一种身份验证协议,用于验证用户的身份。在 Juicy Potato 攻击中,攻击者将创建一个伪造的 NTLM 服务,并将其绑定到上述 COM 对象上。攻击者还使用另一个 COM 对象来启动计划任务。 4. 当用户登录到目标机器时,NTLM 服务会在后台自动验证其身份。由于该服务被设置为只能由 SYSTEM 用户启动,因此会触发 COM 对象的启动操作,从而启动计划任务。攻击者可以在计划任务中运行一个具有 SYSTEM 权限的程序,从而获得最高权限。 总之,Juicy Potato 利用了 Windows 中的 DCOM 和 NTLM 功能,通过设置 COM 对象的访问权限和创建伪造的 NTLM 服务,以 SYSTEM 权限启动计划任务来实现攻击者的特权升级。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值