文章前言
Hot Potato是Stephen Breen发现的Windows权限提升技术的代号,这种技术实际上是两个已知的windows问题的结合,如nbns欺骗和ntlm中继,以及在目标主机上本地运行的假wpad代理服务器的实现。
Microsoft已经修补了通过smb等相同协议的ntlm身份验证,但是这种技术使用http到smb身份验证来创建高特权服务,因为http请求可能来自windows update等高特权服务,由于流量包含ntlm凭据,并且正在通过一个伪造的代理服务器,因此可以将其捕获并传递给本地smb侦听器,以创建一个提升的服务,该服务可以作为系统执行任何命令。
此问题影响各种windows版本如下所示:
-
Windows 7
-
Windows 8
-
Windows 10
-
Windows Server 2008
-
Windows Server 2012
认证用户
Stephen Breen开发了一个二进制程序(https://github.com/foxglovesec/Potato ),可以自动执行这些攻击,并可以在目标系统上以更高的权限执行任何命令,作为一个经过身份验证的用户(pentestlab ),首先应该检查机器上的本地管理员是谁
一旦从命令提示符在系统上删除了带有相关dll的Potato载荷,就可以执行以下命令,以便在127.0.0.1上本地启动nbns欺骗
Potato.exe -ip -cmd [cmd to run] -disable_exhaust true -disable_defender true
从通过已配置的internet explorer生成http流量的那一刻起(例如使用公司代理设置),攻击将被部署,cmd命令将以更高的权限执行:
在本例中,pentestlab用户被添加到本地administrators组,这意味着提升是可能的
Metasploit
可以使用Metasploit框架来获得一个Meterpreter会话作为system,而不是向本地administrators组添加新用户,这可以通过使用一个额外的metasploit有效负载来实现,该有效负载应该放在目标上(除了hot potato利用之外),并通过多个metasploit处理程序来实现,Hot Potato参数中唯一需要修改的是需要执行的命令,不是将pentestlab用户添加到本地管理员组,而是执行msfvenom创建的metasploit有效负载pentestlab3.exe:
第二个shell是必要的,因为它将用于启动http流量,这是一个棘手的问题,避免了等待下一次windows更新的时间,这一点已经在与此权限提升方法相关的web上的各种来源中进行了描述,从第一个shell开始,为了运行有效负载,将对Potato漏洞进行轻微修改:
在第二个shell中,应该启动internet explorer,这样漏洞就可以捕获http流量:
这将导致hot potato使用的一系列攻击,如nbns欺骗和ntlm中继,通过不同的协议(http到smb)来创建一个新的系统服务,该服务将执行pentestlab3负载:
应该使用第三个metasploit处理程序来捕获已经以更高的权限执行的有效负载:
PowerShell
有一个替代选项,它模拟了powershell中的hot potato漏洞,称为tater,此脚本包含在Empire、p0wnedshell和ps >Attack,它有两种方法来执行权限提升
-
NBNS WPAD Bruteforce + Windows Defender Signature Updates
-
WebClient Service + Scheduled Task
该脚本已经在Windows 2008 server R2环境中测试过,但是它似乎不像在windows 7和windows 10中那样可靠,因此,下面的截图来自这个工具的所有者,而不是来自pentestlab,但它被用来快速参考powershell中的hot potato攻击
Windows 7:
Windows 10:
相关链接
https://github.com/foxglovesec/Potato
https://foxglovesecurity.com/2016/01/16/hot-potato/
https://github.com/Kevin-Robertson/Tater
原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34309.html