RogueWinRM提权

RogueWinRM是一种新型的提权方法，原理在https://decoder.cloud/2019/12/06/we-thought-they-were-potatoes-but-they-were-beans/ ，大体意思就是利用winRm端口来实现token模拟并提权。该漏洞在win10上测试成功。前几天msf上更新了该漏洞利用模块，介绍如下：

利用BITS行为，该行为在每次启动时都尝试连接到本地Windows远程管理服务器（WinRM）。该模块启动一个伪造的WinRM服务器，该服务器侦听端口5985并触发BITS。当BITS启动时，它将尝试向Rogue WinRM服务器进行身份验证，该服务器允许窃取SYSTEM令牌。然后使用此令牌以SYSTEM用户身份启动新进程。在这种情况下，notepad.exe作为SYSTEM启动。然后，它将shellcode写入进程。

漏洞利用：

首先先获得一个简单的msf会话：

然后使用该模块进行提权（BITS与WinRm服务必须处于关闭状态）

此时我们便获得了一个system的shell：

对过程感兴趣的可以去看一下模块的内容，很好理解，就是判断了OS的类型、使用Powershell判断了服务是否开启，判断是否当前为服务权限，如果都符合则运行一个notepad进程，然后使用进程注入将shellcode注入到进程中，获得一个system的会话，整个过程为ReflectiveDLLInjection，无文件操作，更加隐蔽。

  Cobaltstrike操作

之前有讲过Cs的提权武器化，感兴趣的可以转到：使用ReflectiveDLLInjection武装你的CobaltStrike 

本来准备像之前一样弄成反射dll，结果发现并不通用，因为exp自带了-p参数，这里我们直接-p提权即可。

Cs获得system会话：

本文始发于微信公众号（鸿鹄实验室）：RogueWinRM提权