RogueWinRM提权

admin 2021年5月6日19:55:18评论168 views字数 820阅读2分44秒阅读模式

RogueWinRM是一种新型的提权方法,原理在https://decoder.cloud/2019/12/06/we-thought-they-were-potatoes-but-they-were-beans/ ,大体意思就是利用winRm端口来实现token模拟并提权。该漏洞在win10上测试成功。前几天msf上更新了该漏洞利用模块,介绍如下:

利用BITS行为,该行为在每次启动时都尝试连接到本地Windows远程管理服务器WinRM)。该模块启动一个伪造的WinRM服务器,该服务器侦听端口5985并触发BITSBITS启动时,它将尝试向Rogue WinRM服务器进行身份验证,该服务器允许窃取SYSTEM令牌。然后使用此令牌以SYSTEM用户身份启动新进程。在这种情况下,notepad.exe作为SYSTEM启动。然后,它将shellcode写入进程。

漏洞利用:


首先先获得一个简单的msf会话:


RogueWinRM提权


然后使用该模块进行提权(BITS与WinRm服务必须处于关闭状态)


RogueWinRM提权


此时我们便获得了一个system的shell:


RogueWinRM提权


对过程感兴趣的可以去看一下模块的内容,很好理解,就是判断了OS的类型、使用Powershell判断了服务是否开启,判断是否当前为服务权限,如果都符合则运行一个notepad进程,然后使用进程注入将shellcode注入到进程中,获得一个system的会话,整个过程为ReflectiveDLLInjection,无文件操作,更加隐蔽。


  Cobaltstrike操作


之前有讲过Cs的提权武器化,感兴趣的可以转到:使用ReflectiveDLLInjection武装你的CobaltStrike 

本来准备像之前一样弄成反射dll,结果发现并不通用,因为exp自带了-p参数,这里我们直接-p提权即可。


RogueWinRM提权


Cs获得system会话:


RogueWinRM提权

     ▼
更多精彩推荐,请关注我们

RogueWinRM提权



本文始发于微信公众号(鸿鹄实验室):RogueWinRM提权

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月6日19:55:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RogueWinRM提权https://cn-sec.com/archives/244201.html

发表评论

匿名网友 填写信息