烂土豆(JuicyPotato)提权
CATALOG
- 1.前言
- 2.原理
- 2.1前置知识
- 2.2juicypotato实现流程
- 3.实现
- 3.1提权结果
- 3.2实现步骤
- 3.2.1先使用powershell脚本找到可用的CLSID
- 3.2.2再使用bat文件确定能利用的CLSID
- 3.2.3使用juicypotato进行利用
- 4.防御方法
- 5.参考文章
1.前言
很有名的一个提权工具,今天对其做一个小小的使用总结。
2.原理
2.1前置知识
首先我们要知道:
- 使用DCOM的时候,如果以服务方式远程连接,那么为system权限,例如BITS服务。
- 使用DCOM可以通过TCP连接到本机的一个端口,发起NTLM认证,且此认证可以被重放。
- LocalService用户默认具有Selmpersonate和SeAssignPrimaryWithToken权限。
- 开启Selmpersonate权限后,能够在调用CreateProcessWithToken时候,穿入新的Token创建新的进程。
- 开启SeAssignPrimaryToken权限后,能够在调用CreateProcessAsUser时,传入新的Token创建新的进程
2.2juicypotato实现流程
- 加载COM并发送请求,在指定ip和端口位置尝试加载一个COM对象
- 回应步骤1的请求,并发起NTLM认证,由于权限不足,无法认证成功
- 针对本地端口同样发起NTLM认证,权限为当前用户
- 分别拦截两个NTLM认证的数据包,替换数据,通过NTLM重放使得步骤1中的认证通过,获得system权限的token
- 利用system权限的token创建新的进程,如果开启SeImpersonate权限,调用CreateProcessWithToken,传入System权限的Token,创建的进程为System权限,或者如果开启SeAssignPrimaryToken权限,调用CreateProcessAsUser,传入System权限的Token,创建的进程为System权限。
3.实现
3.1提权结果
在win7上实现:
3.2实现步骤
3.2.1先使用powershell脚本找到可用的CLSID
powershell下载地址:
https://github.com/shanfenglan/test/blob/master/juicypotato/clsid.ps1
命令如下:
PowerShell.exe -ExecutionPolicy Bypass -File 1.ps1 > CLSID.list
3.2.2再使用bat文件确定能利用的CLSID
bat下载地址:https://github.com/shanfenglan/test/blob/master/juicypotato/1.bat
将bat文件与clsid.list文件放在同一目录下执行即可,会生成result.log文件,这里面的clsid即为可用的。
3.2.3使用juicypotato进行利用
下载地址:github工具下载地址
任意挑选一个result.log文件中的clsid,然后在管理员权限下使用以下命令:
JuicyPotato.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c {031EE060-67BC-460d-8847-E4A7C5E45A27}
当前管理员用户如果开启SeImpersonate权限,juicypotato的参数可以使用-t t
如果开启SeAssignPrimaryToken权限,juicypotato的参数可以使用-t u
如果均开启,可以选择-t *
攻击结果如下:
4.防御方法
1.阻止攻击者获得SeImpersonate或者SeAssignPrimaryToken权限
2.即使打好系统补丁
3.升级到最新的windows系统
5.参考文章
github工具下载地址
Windows本地提权工具Juicy Potato测试分析
烂土豆(JuicyPotato)提权相关推荐
- 烂土豆Juicypotato提权原理和利用
0x00 Potato(烂土豆)提权的原理: 所谓的烂土豆提权就是俗称的MS16-075 可以将Windows工作站上的特权从最低级别提升到" NT AUTHORITY \ SYSTEM&q ...
- JuicyPotato提权
需要了解的几个知识点 BITS服务是什么 BITS是一个与网络传输相关的系统服务.可用于上传下载文件到HTTP或SMB服务器,Windows更新也用到了BITS,BITS可以实现网络重连或系统重启后, ...
- 域渗透之热土豆的提权
注意这个不是提域控的管理身份,而是利用普通的域用户进行提取为本地的管理员权限.只需要知道普通域用户的账号和密码即可,这个可以通过抓取本地的用户hash进行用hashcat进行破解即可. 一开始使用普通 ...
- 提权-win烂土豆dll劫持引号路径服务权限
以下几种提权方法的适合环境(web用户/本机用户)因方法而不同,有的方法在两种权限下都适用,一般也都是本机权限大于webshell权限. win 烂土豆提权(MS16-075): 烂土豆(Rotten ...
- 【内网安全】——Windows提权姿势
作者名:白昼安全 主页面链接: 主页传送门 创作初心: 一切为了她 座右铭: 不要让时代的悲哀成为你的悲哀 专研方向: web安全,后渗透技术 每日emo: 不悲伤,不彷徨,有风听风,有雨看雨 一.W ...
- Meterpreter 提权
0x01 Meterpreter自动提权 1.生成后门程序 我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马: msfvenom -p windows/meterpret ...
- windows提权—烂土豆(RottenPotato)及Juicy Potato提权
介绍 烂土豆(Rotten Potato) MS16-075 提权是一个本地提权,只针对本地用户,不支持域用户 适用版本:Windows 7.8.10.2008.2012 烂土豆下载地址: https ...
- Windows提权--小迪权限提升--烂土豆--DLL劫持--udf提权
目录 权限分类 针对环境 webshell权限 本地用户权限 提权方法 1.windows内核溢出漏洞(如何判断类型和利用) 2.数据库提权 Mysql Mssql oracle redis post ...
- 烂土豆提权(MS16-075)--令牌窃取提权
漏洞介绍 当攻击者转发适用于在同一计算机上运行的其他服务的身份验证请求时,Microsoft 服务器消息块 (SMB) 中存在特权提升漏洞.成功利用此漏洞的攻击者可以使用提升的特权执行任意代码. 若要 ...
- Windows-烂土豆提权
Windows-烂土豆提权 漏洞复现-烂土豆提权(MS16-075) 0x00 前言 烂土豆提权,即使用CVE-2016-3225(MS16-075)漏洞进行提权,当攻击者转发适用于在同一计算机上运行 ...
最新文章
- jdk8 List集合 Stream distinct() 去重代码示例
- PDH光端机常见故障及解决方法介绍
- jquery对下拉框的操作
- 团队文化中的害群之马
- C 语言是“最环保”的编程语言
- 软考:数据库系统工程师
- TextWatcher
- tensorflow入门(一)波士顿房价数据集
- Linux中GoogleChrome谷歌浏览器安装好了打不开怎么办?
- 兼容安卓和苹果的滚动
- 什么是黎曼和?什么是定积分?
- vue实现分屏_WebRTC如何在Vue.js 配合video标签实现多分屏功能?
- kubernetes存储 -- Configmap应用配置管理
- 服务搭建篇(一) 搭建基于prometheus + node_exporter + grafana + Alertmanager 的监控报警系统 , 保姆级教程
- 张鑫溢:9.28黄金原油走势分析及操作建议指导.
- SecureCRT使用SSH连接很慢问题解决
- ARM A35 A53
- 尽量用pass-by-reference-to-const(const引用)替换pass-by-value(传值)
- ElasticSearch根据坐标点和半径查询范围内的所有记录,并按距离排序
- 企业如何利用自动化设备管理软件做好商机管理?