RottenPotato(爛土豆)提權的原理可以簡述如下:
1.欺騙"NT AUTHORITY\SYSTEM"賬戶通過NTLM認證到我們控制的TCP終端
2.對這個認證過程使用中間人攻擊(NTLM重放),為"NT AUTHORITY\SYSTEM"賬戶本地協商一個安全令牌。這個過程是通過一系列的windows API調
用實現的
3.模仿這個令牌。只有具有“模仿安全令牌權限”的賬戶才能去模仿別人的令牌。一般大多數的服務器賬戶(IIS,MSSQL)有這個權限,大多數用戶級
的賬戶沒有這個權限。
所以,一般從web拿到的webshell都是IIS服務器權限,是具有這個模仿權限的。測試過程中,發現使用已經創建好的賬戶(就是用戶級賬戶)去反彈meterpreter然后再去執行EXP的時候會失敗,但是使用菜刀(iis服務器權限)反彈meterpreter就會成功
爛土豆比熱土豆的優點是:
1.100%可靠
2.全版本通殺(當時)
3.立即生效,不會像hot potato那樣有時候需要等windows更新才能使用
總之,我對這個的理解是通過中間人攻擊,將COM(NT\SYSTEM權限)在第二部挑戰應答過程中認證的區塊改為自己的區塊獲取SYSTEM令牌,然后MSF模仿令牌。
令牌竊取配合爛土豆提權
單純令牌竊取:WEB權限或者本地權限
如配合爛土豆提權:WEB或者數據庫等權限
不帶引號服務路徑安全問題
服務路徑提權:WEB權限或者本地提權
不安全的服務權限配置問題
服務權限配置:WEB權限或者本地權限(WEB幾率小)
Win2012z爛土豆配合令牌竊取提權-Web權限
Win2012-不安全的服務權限配合MSF-Web,本地權限
Win2012-不帶引號服務路徑配合MSF-Web,本地權限
關於Windows相關知識點總結說明-權限層,系統層,防護層等
案例1:win2012-爛土豆配合令牌竊取提權-web權限
原理:參考上述圖片內容,非服務類用戶權限無法竊取成功(原理)
過程:上傳爛土豆-執行爛土豆-利用竊取模塊-竊取SYSTEM-成功
低權限提權高權限
upload/root/potato.exe C: \Users \ Publiccd C: \ (Users \ \ Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate token "NT AUTHORITY\ \SYSTEM"
針對環境,web或者本地。
內網橫向移動需要本地權限-普通用戶提權至管理員
相關文件及后門免殺問題