RogueWinRM提权

  • A+
所属分类:安全文章

RogueWinRM是一种新型的提权方法,原理在https://decoder.cloud/2019/12/06/we-thought-they-were-potatoes-but-they-were-beans/ ,大体意思就是利用winRm端口来实现token模拟并提权。该漏洞在win10上测试成功。前几天msf上更新了该漏洞利用模块,介绍如下:

利用BITS行为,该行为在每次启动时都尝试连接到本地Windows远程管理服务器WinRM)。该模块启动一个伪造的WinRM服务器,该服务器侦听端口5985并触发BITSBITS启动时,它将尝试向Rogue WinRM服务器进行身份验证,该服务器允许窃取SYSTEM令牌。然后使用此令牌以SYSTEM用户身份启动新进程。在这种情况下,notepad.exe作为SYSTEM启动。然后,它将shellcode写入进程。

漏洞利用:


首先先获得一个简单的msf会话:


RogueWinRM提权


然后使用该模块进行提权(BITS与WinRm服务必须处于关闭状态)


RogueWinRM提权


此时我们便获得了一个system的shell:


RogueWinRM提权


对过程感兴趣的可以去看一下模块的内容,很好理解,就是判断了OS的类型、使用Powershell判断了服务是否开启,判断是否当前为服务权限,如果都符合则运行一个notepad进程,然后使用进程注入将shellcode注入到进程中,获得一个system的会话,整个过程为ReflectiveDLLInjection,无文件操作,更加隐蔽。


  Cobaltstrike操作


之前有讲过Cs的提权武器化,感兴趣的可以转到:使用ReflectiveDLLInjection武装你的CobaltStrike 

本来准备像之前一样弄成反射dll,结果发现并不通用,因为exp自带了-p参数,这里我们直接-p提权即可。


RogueWinRM提权


Cs获得system会话:


RogueWinRM提权

     ▼
更多精彩推荐,请关注我们

RogueWinRM提权



本文始发于微信公众号(鸿鹄实验室):RogueWinRM提权

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: